LDAP - TLS

Hinweis: In dem Thema LDAP - TLS gibt es 12 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    Hey,
    öglich
    ich will meinen LDAP-Umgebung nun mit TLS austatten, konnte bisher aber noch keiner gute Anleitung dazu finden. Ist es prinzipiell möglich mit selbstsignierten Zertifikaten dies zu testen, wenn ja wie?

    Selbstverständlich ist das "öglich".


    Einfach eine eigene CA erstellen und für jeden Host/Dienst entsprechend CSRs und Certs erstellen.
    Und die dann natürlich in den jeweiligen Service entsprechend integrieren.


    Eine hilfreichere spezifischere Aussage ist mangels vernünftiger Information leider derzeit nicht möglich.
    Die Antwort ist der Frage jedoch völlig angemessen.


    Was ist denn diese "LDAP Umgebung"?

    [sssd]
    config_file_version = 2
    services = nss, pam
    domains = domain.local
    ; domains = LDAP
    [nss]
    filter_users = root
    filter_groups = root
    [pam]
    [domain/domain.local]
    id_provider = ldap
    auth_provider = ldap
    ldap_schema = rfc2307bis
    enumerate = true
    cache_credentials = true
    ldap_uri = ldap://localhost
    ldap_search_base = dc=domain,dc=local
    -------------------------------------------------------
    /etc/ldap.conf:


    host 127.0.0.1
    base dc=e-vendo,dc=local
    bind_policy soft
    pam_lookup_policy yes
    pam_password exop
    nss_initgroups_ignoreusers root,ldap
    nss_schema rfc2307bis
    nss_map_attribute uniqueMember member
    --------------------------------------------------------
    /etc/pam.d/common-account:
    account requisite pam_unix.so try_first_pass
    account sufficient pam_localuser.so
    account required pam_ldap.so use_first_pass
    --------------------------------------------------------
    /etc/pam.d/common-auth:
    auth required pam_env.so
    auth sufficient pam_unix.so try_first_pass
    auth required pam_ldap.so use_first_pass


    --------------------------------------------------------
    /etc/pam.d/common-session:
    session optional pam_mkhomedir.so
    session required pam_limits.so
    session required pam_unix.so try_first_pass
    session optional pam_ldap.so
    session optional pam_umask.so
    session optional pam_systemd.so
    session optional pam_env.so
    --------------------------------------------------------
    /etc/pam.d/common-password
    password requisite pam_cracklib.so
    password sufficient pam_unix.so use_authtok nullok shadow try_first_pass
    password required pam_ldap.so try_first_pass use_authtok

    Meinst du nicht, dass man erst einmal so geringfügige Basics, wie die Domain konfigurieren sollte?
    Ich denke, es ist dein erster Versuch mit LDAP und dein erster Versuch mit eigener CA.
    Es ist ja löblich, wenn du das lernen möchtest, einfach installieren aber fällt aus wegen Is-nich.


    Du solltest dir erst einmal klar darüber werden, was LDAP ist, und für was du es verwenden willst.
    Man kann LDAP als schlichtes Adressbuch einsetzen, man kann es aber auch dafür einsetzen in einem komplexen Netzwerk alle User-, Maschinen- und Serverdiensteaccounts zu verwalten.


    LDAP ist ein Backend zur Verwaltung solcher Informationen.
    Wenn für ein komplexes Netzwerk entschieden wurde Kerberos als prinzipielle Sicherheitsinfrastruktur zu verwenden, so lässt sich dann halt Kerberos von LDAP mit den benötigten Informationen versorgen.
    Es gibt sehr viele Dienste, die irgendwelche Ansprüche an Authentifizierung samt wohl granulierten Rechten stellen. LDAP speichert nur die Information dazu. Die Dienste müssen das schon irgendwie selbst machen.
    Bei Kerberos muss jeder Dienst "keberisiert" sein d. h. er muss von sich aus das Ticketsystem anfragen, ob User Halligalli auch darf. Der TicketGrantingServer schickt dann dem jeweils anfragenden "Dienste"server die entsprechende Autorisierung nach Rücksprache mit dem LDAP-Server.
    Will der User sich z.B. via ssh auf einen kerberisierten SSH-Server einer LDAP Domain verbinden, so muss dieser SSH-Server eben selbst beim Kerberos-TGS-Server nachfragen, der wiederum die benötigten Infos vom LDAP-Server holt (bzw. längst "gepuffert" hat). Der User selbst kriegt davon nichts mit.
    Der meldet sich morgens einmal (ohne es zu merken) am Kerberos-TGS an und erhält "seine" Erlaubnis.
    Ab da kann er sich ohne Spasswort, Schüssel oder sonst irgendeiner Authentifizierungsmethode den ganzen Tag via ssh auf allen ihm erlaubten SSH-Servern einloggen.


    Der SSH-Server selbst ist auf seiner Maschine natürlich dafür zu konfigurieren. Das geschieht meist via PAM (PlugableAuthenticationMethod). Statt die lokale Spasswortabfrage, oder das Checken der jeweiligen ~/.ssh/authorized_keys durchzuführen, gibt er das "Problem" einfach via PAM an den Kerberosclient weiter, der wiederum den User via LDAP konfigurierten Daten vom KerberosTGS den Zugriff gestatten lässt.
    Und LDAP selbst verwendet i.d.R. selbst zur Speicherung wieder ein anderes Backend. Nämlich irgendeine SQL Datenbank.


    Etwas komplizierter wird die Sache, wenn man einen Mailserver darüber absichern will. Ein Mailserver besteht ja aus mindestens zwei Servern. Der MTA und der Postfachserver. Und viele, viele Filter, die ihrerseits wiederum andere Server mit anderen Diensten betrauen könnten. Alle davon müssen auf die ein oder andere Art -je nach Zweck- in LDAP ebenfalls konfiguriert sein. Meist verwaltet man auch mit einem Server mehrere (Mail)Domains.
    Also sind in LDAP für sehr, sehr viele teils völlig verschiedene Server verschiedene Domain für verschiedene User zu konfigurieren. Und natürlich alle am gesamten Einsatz beteiligten Maschinen entspechend auch.


    Also nochmal die Frage: Für welche Services willst du LDAP einsetzen?
    Einfach installieren ist nich.
    Dein TLS Problem deckt übrigens lediglich ein klitzekleines Detailproblem, nämlich die Verschlüsselung beim Datenaustausch zwischen LDAP-Server und (ja welchen denn nun?) LDAP-Client via Netzwerk ab.

    Erst einmal vielen Dank für deine ausführlichen Infos.
    Mein Ziel ist es mittels Yast eine zentrale Benutzerverwalutng zu realisieren., dh ich will meine Linux-Clients, Sonicwall und ggf. IRMC mit LDAP verknüpfen.

    Zitat von suse_user0815

    Mein Ziel ist es mittels Yast eine zentrale Benutzerverwalutng zu realisieren., dh ich will meine Linux-Clients, Sonicwall und ggf. IRMC mit LDAP verknüpfen.

    Wenn dir das gelungen ist, magst du dann vielleicht ein kleines "How To" hier veröffentlichen? Ich finde dein Thema sehr interessant....

    Für den Inhalt des Beitrages 99344 haftet ausdrücklich der jeweilige Autor: T0lpan