Mailinglist Archive: opensuse-de (4565 mails)
| < Previous | Next > |
Re: LDAP als NIS / NFS-Ersatz?
- From: Dieter Kluenter <dieter@xxxxxxxxxxxx>
- Date: Sun, 23 Mar 2003 22:45:52 +0000 (UTC)
- Message-id: <m3bs01raqw.fsf@xxxxxxxxxxxx>
Hallo,
Joachim Kieferle <joakie@xxxxxxxxxxxxxxxxxxx> writes:
Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl
und damit alle damit möglichen Mechanismen können auch auf W2K und NT
kompiliert und installiert werden. Damit bietet sich dann auch eine
DIGEST-MD5 Challenge oder GSSAPI an.
-Dieter
--
Dieter Kluenter | Systemberatung
Tel:040.64861967 | Fax: 040.64891521
mailto: dkluenter@xxxxxxxxxxxxxxxx
http://www.schevolution.com/tour
Joachim Kieferle <joakie@xxxxxxxxxxxxxxxxxxx> writes:
Thorsten Kukuk wrote:
On Sun, Mar 23, Dieter Kluenter wrote:
Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer
als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL
Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz
die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein
gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie
ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise
ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP
mit den aktuell existierenden Standard-Schema und Tools nicht
machbar ist.
Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme
und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat
halt jemand bei den entsprechenden Schemas nicht gut genug
nachgedacht.
Hallo Thorsten,
was mach' ich nun in einer "unsicheren" Umgebung (weil z.B. unser
Fachbereich mit einem anderen ein gleiches Netz teilt und damit
zumindest "potenzielle" Angriffe möglich wären)?
Nehme ich NIS/NFS oder LDAP oder doch besser Windows-Clients, weil die
zumindest (soweit ich weiss) eine gewisse Verschlüsselung verwenden?
Wenn es nämlich so wäre, dass ich mir mit den neu zu kaufenden
Linux-Clients ein riesen Sicherheitsloch aufreisse, erscheint es mir
fast besser zu sein, mit Windows (Browser + Office) weiterzumachen.
Wobei es doch möglich sein sollte, ein sicheres Linux-Netz aufzubauen?
Könntest Du mir evtl. in Stichworten mailen, wie ich das machen müsste
(z.B. 1. LDAP, 2. TLS für LDAP, .... )?
... oder kommt mit der 8.2-er eventuell DIE Lösung für mein Problem?
Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl
und damit alle damit möglichen Mechanismen können auch auf W2K und NT
kompiliert und installiert werden. Damit bietet sich dann auch eine
DIGEST-MD5 Challenge oder GSSAPI an.
-Dieter
--
Dieter Kluenter | Systemberatung
Tel:040.64861967 | Fax: 040.64891521
mailto: dkluenter@xxxxxxxxxxxxxxxx
http://www.schevolution.com/tour
| < Previous | Next > |