On Mon, 28 Oct 2002, Hartmut Meyer wrote:
Hallo,
Am Montag, 28. Oktober 2002 09:40 schrieb Thorsten Kukuk:
On Mon, Oct 28, Martin Oehler wrote:
Am Son, 2002-10-27 um 22.06 schrieb Hartmut Meyer:
LDAP statt NIS sollte helfen.
Ist LDAP sicherer als NIS+?
Nein. Ob ein Dienst sicher ist, haengt von der Konfiguration des Dienstes und des Netzwerkes ab. Und je nachdem, was Du unter "sicher" verstehst, ist sogar NIS sicher. Password Aging (shadow) ist z.B. mit LDAP nicht machbar. Es gibt zwar ein schema dafuer, da aber der Benutzer Schreibzugriff auf die Attribute braucht, ist es damit witzlos.
Aber ist es mit LDAP basierter Benutzerauthentifizierung (login) nicht möglich zu verhindern, dass jeder Benutzer Zugriff auf die verschlüsselten Passwörter hat?
ein richtig konfigurierter LDAP (siehe Kommentar oben) zeigt nur das was der Admin will. Ein User sihet keine Passwoerter, auch nicht verschluesselt. Und schon gar nicht die eines anderen Users. Und wenn der Admin das will, sieht selbst der User seine eigenen Daten nicht, kann sich aber trotzdem authentifizieren. Das ist keine security by obscurity, sondern aktiv konfigurierte Sicherheit. Ausserdem kann LDAP via SSL betrieben werden. Gegen Brute-Force Attacken ist aber natuerlich auch LDAP machtlos. Beantwortet das deine Frage bzgl LDAP? Achim