On Sun, Mar 23, Dieter Kluenter wrote:

Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.

Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht. Thorsten -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Deutschherrnstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B

On Sun, Mar 23, Joachim Kieferle wrote:

Thorsten Kukuk wrote:

...

On Sun, Mar 23, Dieter Kluenter wrote:

...

Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.

Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.

Hallo Thorsten,

was mach' ich nun in einer "unsicheren" Umgebung (weil z.B. unser Fachbereich mit einem anderen ein gleiches Netz teilt und damit zumindest "potenzielle" Angriffe möglich wären)? Nehme ich NIS/NFS oder LDAP oder doch besser Windows-Clients, weil die zumindest (soweit ich weiss) eine gewisse Verschlüsselung verwenden?

Hm, hat Windows den inzwischen eine Einwegverschlüsselung, oder kann man aus dem verschlüsselten Passwort noch immer das Klartext Passwort berechnen? Allgemein würde ich nicht sagen, das Windows-Clients sicherer sind. Ansonsten kannst Du sowohl LDAP mit Verschlüsselung benutzen oder NIS mit z.B. blowfish Verschlüsselten Passwörtern.

Wenn es nämlich so wäre, dass ich mir mit den neu zu kaufenden Linux-Clients ein riesen Sicherheitsloch aufreisse, erscheint es mir fast besser zu sein, mit Windows (Browser + Office) weiterzumachen.

Also, ich halte plain NIS noch immer für sicherer als Windows allgemein. Aber wie immer ist das Ergebnis eine Frage der richtigen Konfiguration. Thorsten -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Deutschherrnstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B

Hallo, Thorsten Kukuk writes:

On Sun, Mar 23, Dieter Kluenter wrote: [...]

Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS.

Dem Stimme ich zu, aber ldapv3 bietet die Möglichkeit der Verschlüsselung.

Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist.

Das ist Unsinn, mit Verlaub. Passwort Aging, d.h. die Gültigkeitsdauer eines Paßwortes zu begrenzen, ist z.B. mit allen SASL Mechanismen möglich. Was heißt hier Standard-Schema. Wenn du damit ein durch eine RFC definiertes Schema meinst, ist das bisher richtig, es gibt allerdings einige Drafts. Es bleibt aber jedem Administrator überlassen, eigene Subschemas zu schreiben, was ja auch in umfangreichem Maße gemacht wird.

Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.

Sicherlich richtig, aber wie schon gesagt, es bleibt doch jedem überlassen sein eigenes Schema zu schreiben, wenn dafür ein Bedarf besteht. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour

Thorsten Kukuk writes:

On Sun, Mar 23, Dieter Kluenter wrote:

...

Das ist Unsinn, mit Verlaub. Passwort Aging, d.h. die Gültigkeitsdauer eines Paßwortes zu begrenzen, ist z.B. mit allen SASL Mechanismen möglich.

Nicht wirklich.

Warum sollte ich ein X.509 Zertifikat nicht einer begrenzten Gültigkeit unterwerfen? Dieses dann mit dem EXTERNAL Mechanismus auswerten? Warum sollte ich ein Kerberos Ticket nicht in der Laufzeit begrenzen können? Warum sollte ich den Mechanismus OTP nicht nutzen können? Ich könnte hier noch etliche weitere Möglichkeiten auflisten.

...

Was heißt hier Standard-Schema. Wenn du damit ein durch eine RFC definiertes Schema meinst, ist das bisher richtig, es gibt allerdings einige Drafts. Es bleibt aber jedem Administrator überlassen, eigene Subschemas zu schreiben, was ja auch in umfangreichem Maße gemacht wird.

Ja, und dann darf er gleich noch die entsprechenden Tools dafuer mitliefern, weil die aktuellen damit nicht klar kommen. Nicht das richtig wahre.

Welches Tool? Man kann doch auch ein Schema dem Tool anpassen, das sollte also kein Argument sein. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour

Dieter Kluenter wrote:

Hallo,

Joachim Kieferle writes:

...

Hallo Liste,

um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.

Sind meine Spekulationen richtig, dass

1. LDAP _sehr_ viel sicherer ist als NIS (was wohl nicht schwer ist)?

2. der Server als Samba-PDC laufen kann und

3. die User ihre Homeverzeichnisse mounten können (über NFS oder ggf. einen sichereren Dienst)?

Hat da jemand Erfahrungen gesammelt?

Ja, habe ich. Was möchtest du wissen?

Hallo Dieter, .... was ich wissen möchte ist ganz einfach: wie geht's (sprich was muss ich wo und wie konfigurieren). Gibt es im Netz irgendwo eine "DAU"-Anleitung? Mein bisheriger Stand: Linux-Server mit Windows-Clients; SuSE 8.1 mit Samba 2.2.8. Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP Dazu braucht's wohl (bzw. ist hilfreich) ein LDAP-Server, der das gesammte Accounting übernimmt. Habe zwar das Buch "LDAP unter Linux" erstanden (und auch versucht zu lesen), aber so ganz klar ist's mir noch nicht. 1. wie sollte meine slapd.conf für den geplanten Einsatz aussehen? 2. wie muss die LDAP-Datenbank aussehen (sprich welche Einträge)? 3. hängen die Linux-Clients dann mit NFS am Server und vor allem: wie sicher ist das? 4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-). 5. etwas OT: aber wie sag' ich meinen Windows-Clients, dass sie zu der von LDAP verwalteten Domäne gehören. 6. Migration von shadow bzw. smbpasswd zu LDAP - geht das oder sollten die User neue Passwörter lernen? ... viele weitere Fragen kommen sicher noch beim Einrichten. Wie beurteilst denn Du meinen Plan, etwa 15 Windows- und 10 Linux-Clients mit ca. 550 Usern mit LDAP zu verwalten? Oder ist das Overkill und LDAP lohnt sich erst ab komplexeren Infrastrukturen? LDAP-mässig bin ich am Anfang bzw. Ausloten, die andere Dinge administriere ich seit Jahren. Viele Grüsse Joachim

Dieter Kluenter wrote:

[...]

...

...

...

Hallo Liste,

um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.

[...]

...

Hallo Dieter,

.... was ich wissen möchte ist ganz einfach: wie geht's (sprich was muss ich wo und wie konfigurieren). Gibt es im Netz irgendwo eine "DAU"-Anleitung?

Nein, das ist auch nichts für DAU's. :-)

schade ;-)

...

Mein bisheriger Stand: Linux-Server mit Windows-Clients; SuSE 8.1 mit Samba 2.2.8.

Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP

Dazu braucht's wohl (bzw. ist hilfreich) ein LDAP-Server, der das gesammte Accounting übernimmt. Habe zwar das Buch "LDAP unter Linux" erstanden (und auch versucht zu lesen), aber so ganz klar ist's mir noch nicht.

Das Buch kannst du vergessen, das ist total veraltet, behandelt ldapv2 und OpenLDAP-1.x und davon ist heute nichts mehr zu gebrauchen.

hmmm, das hab' ich erst mit der 8.1-er SuSE gekauft. Gibt's ein anderes Buch / einen Tip? Ausserdem: wer braucht das Buch "LDAP unter Linux" - günstig abzugeben ;-)). [ ... ]

...

3. hängen die Linux-Clients dann mit NFS am Server und vor allem: wie sicher ist das?

Für Samba gibt es einige Doku, ist aber nicht weiter schwierig, zur Not kann ich dir als Start einige .ldif Muster bereitstellen.

... das wäre prima, dann hätte ich zumindest mal einen Anfang. Am besten per PM?

...

4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).

XP [ ... ]

...

LDAP-mässig bin ich am Anfang bzw. Ausloten, die andere Dinge administriere ich seit Jahren.

Es gibt mehrere Themenbereiche, Samba+ldap, Samba+Kerberos, ldap+services, ldap+User, ldap+kerberos.

Zum Thema ldap gibt es in Internet eine Vielzahl von Dokumentation. Der größte Teil dieser Doku hat einen Nachteil, sie ist total veraltet und nicht mehr zu gebrauchen, es sei denn du weißt genau was du suchst und wie du das Material interpretieren mußt.

[ ...]

Ich selbst nutze u.Zt. OpenLDAP-2.1.14, es gibt aber schon die Version 2.1.16. Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast.

[ ... ] Prima, das ist doch mal ein Anfang. Bin zwar jetzt erschlagen aber ich werde mich von hinten ranarbeiten. Samba sollte kein Problem sein. Ich verwende mal die mit der 8.1-er mitgelieferten CYRUS, ... , damit ich nicht auch noch die neu kompilieren, ... muss. Vielen Dank für Deine ausführlichen Antworten, Joachim

Hallo, Am Sonntag, 23. März 2003 23:40 schrieb Joachim Kieferle:

Dieter Kluenter wrote:

...

[...]

...

...

...

Hallo Liste,

um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.

...

...

Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP [ ... ]

...

...

4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).

XP

Vielleicht ein hilfreicher Link. Ich selber habs noch nicht ausprobiert. Es müßte aber sicher einiges an das eigene Netz angepaßt werden http://technik.tsn.at/

[ ... ]

Joachim

Gruß Georg