Hallo,
Joachim Kieferle
Thorsten Kukuk wrote:
On Sun, Mar 23, Dieter Kluenter wrote:
Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.
Hallo Thorsten,
was mach' ich nun in einer "unsicheren" Umgebung (weil z.B. unser Fachbereich mit einem anderen ein gleiches Netz teilt und damit zumindest "potenzielle" Angriffe möglich wären)? Nehme ich NIS/NFS oder LDAP oder doch besser Windows-Clients, weil die zumindest (soweit ich weiss) eine gewisse Verschlüsselung verwenden?
Wenn es nämlich so wäre, dass ich mir mit den neu zu kaufenden Linux-Clients ein riesen Sicherheitsloch aufreisse, erscheint es mir fast besser zu sein, mit Windows (Browser + Office) weiterzumachen.
Wobei es doch möglich sein sollte, ein sicheres Linux-Netz aufzubauen? Könntest Du mir evtl. in Stichworten mailen, wie ich das machen müsste (z.B. 1. LDAP, 2. TLS für LDAP, .... )?
... oder kommt mit der 8.2-er eventuell DIE Lösung für mein Problem?
Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl und damit alle damit möglichen Mechanismen können auch auf W2K und NT kompiliert und installiert werden. Damit bietet sich dann auch eine DIGEST-MD5 Challenge oder GSSAPI an. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour