Mailinglist Archive: opensuse-de (5757 mails)
| < Previous | Next > |
Re: Frage zu NIS
- From: Achim Hoffmann <ah@xxxxxxxxxxxxx>
- Date: Mon, 28 Oct 2002 22:51:43 +0100 (MET)
- Message-id: <Pine.LNX.4.33.0210282244580.21271-100000@xxxxxxxxxxxxxxxxxx>
On Mon, 28 Oct 2002, Hartmut Meyer wrote:
> Hallo,
>
> Am Montag, 28. Oktober 2002 09:40 schrieb Thorsten Kukuk:
> > On Mon, Oct 28, Martin Oehler wrote:
> > > Am Son, 2002-10-27 um 22.06 schrieb Hartmut Meyer:
>
> > > > LDAP statt NIS sollte helfen.
> > >
> > > Ist LDAP sicherer als NIS+?
> >
> > Nein. Ob ein Dienst sicher ist, haengt von der Konfiguration des
> > Dienstes und des Netzwerkes ab. Und je nachdem, was Du unter "sicher"
> > verstehst, ist sogar NIS sicher.
> > Password Aging (shadow) ist z.B. mit LDAP nicht machbar. Es gibt
> > zwar ein schema dafuer, da aber der Benutzer Schreibzugriff auf die
> > Attribute braucht, ist es damit witzlos.
>
> Aber ist es mit LDAP basierter Benutzerauthentifizierung (login) nicht möglich
> zu verhindern, dass jeder Benutzer Zugriff auf die verschlüsselten Passwörter
> hat?
ein richtig konfigurierter LDAP (siehe Kommentar oben) zeigt nur das was der
Admin will. Ein User sihet keine Passwoerter, auch nicht verschluesselt.
Und schon gar nicht die eines anderen Users.
Und wenn der Admin das will, sieht selbst der User seine eigenen Daten nicht,
kann sich aber trotzdem authentifizieren.
Das ist keine security by obscurity, sondern aktiv konfigurierte Sicherheit.
Ausserdem kann LDAP via SSL betrieben werden.
Gegen Brute-Force Attacken ist aber natuerlich auch LDAP machtlos.
Beantwortet das deine Frage bzgl LDAP?
Achim
> Hallo,
>
> Am Montag, 28. Oktober 2002 09:40 schrieb Thorsten Kukuk:
> > On Mon, Oct 28, Martin Oehler wrote:
> > > Am Son, 2002-10-27 um 22.06 schrieb Hartmut Meyer:
>
> > > > LDAP statt NIS sollte helfen.
> > >
> > > Ist LDAP sicherer als NIS+?
> >
> > Nein. Ob ein Dienst sicher ist, haengt von der Konfiguration des
> > Dienstes und des Netzwerkes ab. Und je nachdem, was Du unter "sicher"
> > verstehst, ist sogar NIS sicher.
> > Password Aging (shadow) ist z.B. mit LDAP nicht machbar. Es gibt
> > zwar ein schema dafuer, da aber der Benutzer Schreibzugriff auf die
> > Attribute braucht, ist es damit witzlos.
>
> Aber ist es mit LDAP basierter Benutzerauthentifizierung (login) nicht möglich
> zu verhindern, dass jeder Benutzer Zugriff auf die verschlüsselten Passwörter
> hat?
ein richtig konfigurierter LDAP (siehe Kommentar oben) zeigt nur das was der
Admin will. Ein User sihet keine Passwoerter, auch nicht verschluesselt.
Und schon gar nicht die eines anderen Users.
Und wenn der Admin das will, sieht selbst der User seine eigenen Daten nicht,
kann sich aber trotzdem authentifizieren.
Das ist keine security by obscurity, sondern aktiv konfigurierte Sicherheit.
Ausserdem kann LDAP via SSL betrieben werden.
Gegen Brute-Force Attacken ist aber natuerlich auch LDAP machtlos.
Beantwortet das deine Frage bzgl LDAP?
Achim
| < Previous | Next > |