Hallo Tobia,
Tobias Heide
Hi Dieter,
Dieter Kluenter wrote:
Die access Regeln werden dir auch Kopfschmerzen bereiten, aber das ist dann der zweite Schritt. Setze diese am besten zurück auf ,----[ access rules ] | access to dn.base="" by * read | access to dn.base=cn=Subschema by * read | access to * | by users read | by anonymous auth `----
Aua, das tut ja weh!!! Du erlaubst damit jedem, die NT und LM-Hashes der Passwörter auszulesen. Unter Sicherheit verstehe ich etwas anderes.
Das stimmt so nicht, 'users' bedeutet, daß sich der Anwender authentifizieren muß, bevor er lesen darf, also wenigstens ein simple bind initiieren muß. Die Regel 'anonymous auth' bedeutet, daß ein Prozess durch Präsentation des userdn und Paßwortes ein OK von slapd bekommt, sofern daß Paßwort richtig ist, entspricht in etwa dem compare, es wird also kein Paßwort ausgelesen. Ich habe nicht von Sicherheit gesprochen. Mir ging es darum, erst einmal ein funktionsfähiges System zu bekommen und dann sukzessive restriktivere access Regeln anzuwenden.
Dann lieber das, was er schon geschrieben hatte. Wo bitte siehst du da etwas, was Kopfschmerzen verursachen könnte?
Die Kopfschmerzen kommen spätestens dann, wenn an den access Regeln nichts geändert wird, da DSAbase nicht gelesen werden konnte und der Aufbau der Regeln aufsteigend und nicht absteigend konstruiert war. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de