[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2003 ml@sikurezza.org Soggetto: R: Server LDAP Mittente: Fausto Pasqualetti Data: 6 Nov 2003 13:02:10 -0000
Ing. Antonello Cairo wrote: >Su http://x.x.it:389 ascolta ma su https no >nonostante ho modificato i file ldap.conf e slapd.conf ! Non ho proprio capito cosa voglia dire la tua frase... Potresti spiegarti meglio... Ldap su ssl fa il bind sulla porta 636 di default Per attivare ssl ad esempio su openldap lo fai sul file slapd.conf Ovviamente devi avere generato i certificati etc etc http://www.ifost.org.au/~peterw/ldap-intro.html Su Iplanet (Directory di Netscape) si puo' fare da interfaccia grafica Penso anche gli altri Directory (IBM, Oracle.. Etc etc ) sia configurabili da interfaccia grafica. Per windows ovviamente Microsoft ha il suo server di Directory che Active Directory... Che non è proprio un directory è anche qualcosa di meno o di piu' (dipende dai punti di vista...) teoricamente supporta tutti gli RFC di ldap Version 3. Per quel che riguarda metterlo nella DMZ dipende cosa ti serve. LDAP oramai è de facto lo standard utilizzato per il SSO (Single Sign-On) e solitamente tutte le applicazioni nella server farm e nella DMZ chiedono l'autenticazioni ad un server di Directory. (posta elettronica, login portali vari, accesso aree riservate...) nei casi con molti accessi vi sono diversi slave su cui fare il bind ovvero l'autenticazione. Sulla questione DMZ di solito il master è fuori la DMZ o in una DMZ apposita molto interna e gli slave è all'interno di una o + DMZ ma su questo potremmo parlare per infinite ore... E non tutti saranno d'accordo con quel che dico ovviamente... Ad esempio aprire le porte per le repliche etc etc... Ma lo strumento per me + potente per la sicurezza di LDAP è una cosa chiamata ACL... Con le Access Control List puoi praticamente personalizzare il tuo directory e rendere le informazioni riservate... (chiedo venia per questo modo di rappresentare la cosa non molto rigoroso). Su come sono usate le ACL su LDAP in teoria ci sono gli RFC in pratica ogni directory ha le sue specifiche... Almeno dalla mia esperienza... Per openldap consulta il manuale on-line. Ad esempio potresti fare in modo che l'utente dopo essersi autenticato possa vedere solo un numero limitato di attributi e solo per la sua utenza. A questo punto la sicurezza viene demandata alla scelta delle password del Directory quindi se metti un Directory Manager o un admin fa che le password siano forti e soprattutto utilizza algoritmi SHA o SSHA che uniti con l'SSL insomma rendono veramente duro un attacco che a questo punto in linea teorica sarà solo brute force (... Qualcuno sa stimare in tempo CPU di un pc odierno un attacco di questo tipo? Sarei curioso... Io non sono riuscito sul mio Pentium IV 1800 Mhz a craccare una password ben scelta con SSHA in un tempo ragionevole... Ovvero qualche giorno...) Tutto questo a meno di exploit del servizio... Comunque come dicevi giustamente se non devi pubblicarle su internet usa iptables... (Ma non hai un gateway - proxy- firewall verso l'esterno?). Per qualsiasi dubbio o chiarimento sempre disponibile. A presto Ing. Fausto Pasqualetti EDS Electronic Data Systems Italia S.p.A. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005