TLS-Nebenwirkungen auf slapd
Hallo,
ich habe bei der Aktivierung von TLS für den LDAP-Zugriff zwei Nebenwirkungen
festgestellt, die ich nicht verstehe.
1. Wenn sowohl TLS als auch SASL via DIGEST-MD5 aktiviert sind, versucht slapd
den Klienten zunächst gegen sasldb (!) zu authentifizieren, was natürlich
fehlschlägt, da ich die nicht verwende. Danach authentifiziert er selbst
richtig und liefert die Antworten aus.
Bei SASL via DIGEST-MD5 ohne TLS authentifiziert slapd gleich selbst, ohne
Rückfrage bei sasldb.
Bei einfacher Authentifizierung (ohne SASL) unter TLS gibt es auch keine
Fehlermeldung.
2. Unter Verwendung von TLS (mit oder ohne SASL) kann ich keine Schemaeinträge
lesen.
Versteht das irgendjemand?
Ich habe auch noch eine Verständnisfrage. Wenn ich SASL (mit digest-md5)
verwende, wird das Paßwort verschlüsselt übertragen. Wenn ich als Admin
authentifiziert bin, habe ich auch Lesezugriff auf die Paßwörter, die im
slapd im Klartext gepeichert sind. Wenn der sicher authentifizierte Admin
einen User-Eintrag liest, wird dessen Paßwort quasi unverschüsselt
übertragen. Ist das so richtig?
Wenn dem so ist, dann wäre für den Admin TLS dringend geboten. Aber auch der
User kann sein eigenes Paßwort lesen und überschreiben. So ist das zwar bei
der Authentifizierung gesichert, nicht aber, wenn er lesend oder schreibend
darauf zugreift. Wenn dem so ist, dann führt an TLS kein Weg vorbei, oder?
Kennt eigentlich jemand eine gesicherte Angabe, wie sich TLS auf
Zugriffsgeschwindigkeit und -volumen auswirkt?
Noch eine allerletzte Frage. Besteht eigentlich Interesse an einem deutschen
LDAP-Forum im Usenet? Soweit ich sehe, gibt es bislang keines. Und besonders
debian-spezifisch ist das Thema ja auch nicht (sorry im Voraus).
Gruß
gp
Reply to: