Re: Sichere zentrale Benutzerverwaltung - wie geht das?

To: debian-user-german@lists.debian.org
Subject: Re: Sichere zentrale Benutzerverwaltung - wie geht das?
From: Werner Opriel <W.Opr@gmx.de>
Date: Fri, 13 Aug 2004 19:22:27 +0200
Message-id: <[🔎] 2o4bm7F6ml4qU1@uni-berlin.de>
Reply-to: W.Opr@gmx.de
References: <[🔎] t0qfh05h8ue84325j2o24qt9m8fj1fde7k@4ax.com> <[🔎] 20040810081522.GA11796@cs-ol.de> <[🔎] 2nrimbF3uj57U1@uni-berlin.de> <[🔎] 20040810104841.GA4351@zoot.molkerei-ammerland.de> <[🔎] 2nrq02F3vp08U1@uni-berlin.de> <[🔎] 5bbmh0td46700bkgds7j57brphsg3s4rvu@4ax.com>

Peter Holm wrote:

> On Tue, 10 Aug 2004 14:10:08 +0200, Werner Opriel <W.Opr@gmx.de>
> wrote:
> 
>>"Sicherheit" ist relativ.
>>Es sind aber nicht nur "MinAge" / "MaxAge" die ich vermisse, auch
>>"Quality" und "MinLength" fehlen ....usw.
> 
> uff, das ist aber ein ganz dicker Hund, und etwas, was man ich bisher
> noch nicht in den vielen LDAP-howtos gefunden habe, danke. Genau das
> nervt immer enorm, nirgendwo steht, was eigentlich NICHT geht... das
> merkt man dann erst, wenn es zu spät ist...
> 
> Eigentlich will ich ja "nur" ein sicheres nis. Also eine Gruppe von
> Rechnern soll eine zentrale Benutzerverwaltung haben. Das interne Netz
> ist nicht vertrauenswürdig, deshalb habe ich ja Probleme mit NIS.

Um NIS durch ein OpenLDAP basierendes System abzuloesen, gibt es etliche
Infos im Netz.
Und wie Uwe Laverenz erwaehnte kann man ja auch Kerberos einsetzen.
vgl. auch folgende Links:
http://www.kegel.com/linux/edu/fileserving.html
http://www.skills-1st.co.uk/papers/security-with-ldap-jan-2002/security-with-ldap.html
http://www.bayour.com/LDAPv3-HOWTO.html
http://www.daasi.de/staff/norbert/thesis/html/node10.html

Ich wollte aber darauf hinweisen, das OpenLDAP nativ noch keine
Password-Policy bieten kann.
Mit Kerberos kenne ich mich noch nicht wirklich aus, vielleicht kann Uwe
dazu noch ein paar Hinweise geben.

Ich habe kein vorhandenes NIS abzubilden, sondern moechte unseren
Windows-Usern ueber OpenLDAP "EINEN" kontrollierten Zugang zu Linux
basierenden Diensten wie:
- Cyrus-Imap
- evt. SMTP-AUTH Postfix
- Squid-Proxy
- CMS-Apache
- SQL-DB
- SAMBA
..... gewaehren. 
Ueber eine TLS-Verbindung kann ich die Zugriffe zwar absichern, aber wie ich
feststellen musste, fehlt eine echte Password-Policy in OpenLDAP.
Diese wird wohl erst in der naechsten Version verfuegbar sein:
http://www.rfc-editor.org/internet-drafts/draft-behera-ldap-password-policy-07.txt

> Wenn allerdings solche fundamentalen Sachen mit LDAP noch nicht
> funktionieren, frage ich mich, wie das in der Praxis funktionieen
> soll... bleibe da ziemlich ratlos...
Wie oben erwaehnt, ueber zusaetzliche  Authentifizierungsprotokolle.

> Was ist eigentlich von nfs in diesem Zusammenhang zu halten? Das soll
> auch nicht sicher sein? Was nimmt man denn dann???
Vielleicht:
http://www.openafs.org/ 
in Verbindung mit Kerberos.

Gruss
Werner Opriel

Reply to:

References:
- Sichere zentrale Benutzerverwaltung - wie geht das?
  - From: Peter Holm <listbot@gmx.de>
- Re: Sichere zentrale Benutzerverwaltung - wie geht das?
  - From: Udo Mueller <info@cs-ol.de>
- Re: Sichere zentrale Benutzerverwaltung - wie geht das?
  - From: Werner Opriel <W.Opr@gmx.de>
- Re: Sichere zentrale Benutzerverwaltung - wie geht das?
  - From: Uwe Laverenz <laverenz@molkerei-ammerland.de>
- Re: Sichere zentrale Benutzerverwaltung - wie geht das?
  - From: Werner Opriel <W.Opr@gmx.de>
- Re: Sichere zentrale Benutzerverwaltung - wie geht das?
  - From: Peter Holm <listbot@gmx.de>

Prev by Date: Re: Fetchall pop3 Account local verteilen
Next by Date: Re: Zentralste Moeglichkeit, dpi umzustellen!?
Previous by thread: Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Next by thread: Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Index(es):
- Date
- Thread