Re: ircd-server auf debian ...

[schönfeld / in-medias-res <schoenfeld@in-medias-res.com>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi,

da ich mich selbst, als Network Administrator in einem IRC Network und
als offizieller Supporter des nrealIRCD, aufspiele möchte ich dir ein
paar Hinweise geben.

sab sab wrote:
> ich möchte auf einem debian-server den ircd installieren und so
> konfigurieren, daß nur registrierte (also bekannte) user zugang haben.
> kann mir da jemand weiterhelfen?

nun, also mir ist _kein_ ircd bekannt, der eine Zugangsverwaltung
für Benutzer hat, selbst der unrealircd kann das nicht.[1] Jedenfalls
nicht auf Basis verschiedener Benutzer und verschiedener Passwörter.

Was geht:

* den Zugriff auf bestimmte TLDs/Hostnames beschränken
* den Zugriff auf den Passwort durch _ein_ Passwort absichern,
welches dann aber für alle gilt
* den Zugriff auf SSL limitieren und ein gültiges (durch die CA
signiertes) Client-Zertifikat voraussetzen

Die ersten beiden Möglichkeiten sind ziemlich wertlos. Die erste da du
wohl kaum nur Leute kennst die eine feste IP haben und in
dein Netz nach Registrierung können sollen (allerdings könntest
du den IRC Server auf einen Host limitieren auf dem ein CGI
läuft (CGI:IRC) und dann Registrierung und Chat über
ein webbasiertes Frontend anbieten). Die letztere weil dann
jeder das selbe Passwort hat und du wenn du einem den Zugriff
sperrst allen ein neues zuteilen musst.

Die dritte Möglichkeit hat den markanten Nachgeschmack, dass du
deinen Usern klar machen musst wie sie SSL nutzen (mirc kann es
seit v6, xchat u. irssi schon etwas länger, aber andere clients
unterstützen es sogut wie garnicht) UND ihnen beim Registrieren
ein Zertifikat erstellen und signen musst UND das die wenigsten
Clients AFAIK Client-Zertifikate *überhaupt* unterstützen. Davon
abgesehen hast du natürlich den Zuatzaufwand, dass du eine CA
erstellen musst, was mit OpenSSL aber nicht das Ding ist.

Eine weitere Möglichkeit wäre dein Netzwerk mit Services
wie Epona, Anope, Ircservices zu versehen, da es dort
AFAIR auch Möglichkeiten gibt zu sagen, dass nicht-registrierte Nicks
vom Server mittels KLINE entfernt werden - Problem bei der Sache ist:

* In der Regel können User sich selbst registrieren, du müsstest
also schauen ob es eine Option gibt, die dir erlaubt Registrierungen
zu bestätigen, da sonst die "Bekanntheit" nicht mehr gegeben ist

* Die Datenbanken der meisten mir bekannten Services basieren
auf sehr seltsamen, nicht-standarisierten Formaten - wenn du
User also via Web registrieren möchtest, rennst du in Trouble ;-)

Abschließend: Ich übernehme keine Garantie dafür, dass ich
in meinen Hinweisen was vergessen habe oder das meine
Informationen in Teilpunkten eventuell mittlerweile überholt sind.
Zwar supporte ich den unrealircd und bin Netadmin in einem Netz,
aber habe bisher keinen Bedarf dafür gesehen Verbindungen
auf Benutzer mit Passwort zu limitieren ;-)


Greets

Patrick

[1] Es dürfte im Grunde kein Protokoll-konformer ircd können,
da das Protokoll, definiert in RFC1459 und Nachfolgern, keine
Authorisierungsmechanismen kennt.

- --
IN MEDIAS RES
- -=Operations=-

tel. +49 (0) 2166 - 99 99 - 685
fax. +49 (0) 2166 - 99 99 - 850

email: schoenfeld@in-medias-res.com
web: www.in-medias-res.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFBK2sPZJ9Abr6M8XMRAuuEAJ9s221DiCqkK5ZBvUxPq+TXRNNlCACaA8gh
lWehKqn0UqdvnRNYXEKiQzE=
=jK6i
-----END PGP SIGNATURE-----