Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Memorizzazione della password su LDAP

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
faithful



Registrato: 05/05/08 12:28
Messaggi: 23

MessaggioInviato: Mar Nov 17, 2009 4:57 pm    Oggetto: Memorizzazione della password su LDAP Rispondi citando

Ciao a tutti ho una domanda:
Come mai la password nell'albero LDAP viene memorizzata nell'attributo sn dell'entry radius dell'utente e non nell'attributo userPassword?
Questa scelta rende impossibile l'utilizzo di Zeroshell come autenticatore esterno per altri client che supportano solo LDAP e non kerberos, ci sono controindicazioni nello spostare o solo copiare il valore della password anche nell'attributo userPassword dell'utente?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Nov 17, 2009 8:30 pm    Oggetto: Rispondi citando

La password viene messa in sn in un ramo di LDAP consultabile solo da FreeRadius sul loopback 127.0.0.1. Cio' serve per far funzionare 802.1X con PEAP MsChapv2 le cui chiavi sono incompatibili con quelle Kerberos. Invece l'autenticazione LDAP con username e password non e' prevista proprio perche' manca l'attributo userPassword, ma in futuro potrei abilitarla.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
faithful



Registrato: 05/05/08 12:28
Messaggi: 23

MessaggioInviato: Lun Nov 23, 2009 3:56 pm    Oggetto: Rispondi citando

fulvio ha scritto:
La password viene messa in sn in un ramo di LDAP consultabile solo da FreeRadius sul loopback 127.0.0.1. Cio' serve per far funzionare 802.1X con PEAP MsChapv2 le cui chiavi sono incompatibili con quelle Kerberos. Invece l'autenticazione LDAP con username e password non e' prevista proprio perche' manca l'attributo userPassword, ma in futuro potrei abilitarla.

Ciao
Fulvio

Sarebbe molto utile per utilizzare ZS come autenticatore LDAP, in fondo si tratta di replicare un'attributo di una entry.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Nov 23, 2009 6:41 pm    Oggetto: Rispondi citando

Non e' proprio cosi' banale perche' il sistema di autenticazione di Zeroshell e' Kerberos 5 e quindi gli utenti possono cambiarsi la password tramite kpasswd, tramite PAM k5 e da Windows premendo Ctrl+Alt+Canc. In tali casi bisognerebbe patchare il daemon di amministrazione di Kerberos V (kadmind) per cambiare la password anche in LDAP quando gli arrivano richieste di cambio password K5.
In realta' questo lavoro io l'ho gia' fatto per cambiare l'attributo SN sotto la ou=Radius e quindi lo sforzo per modificare ulteriormente il kadmind per scrivere anche in userPassword è minimo e pertanto penso che lo faro' prossimamente.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
faithful



Registrato: 05/05/08 12:28
Messaggi: 23

MessaggioInviato: Lun Nov 23, 2009 10:57 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Non e' proprio cosi' banale perche' il sistema di autenticazione di Zeroshell e' Kerberos 5 e quindi gli utenti possono cambiarsi la password tramite kpasswd, tramite PAM k5 e da Windows premendo Ctrl+Alt+Canc. In tali casi bisognerebbe patchare il daemon di amministrazione di Kerberos V (kadmind) per cambiare la password anche in LDAP quando gli arrivano richieste di cambio password K5.
In realta' questo lavoro io l'ho gia' fatto per cambiare l'attributo SN sotto la ou=Radius e quindi lo sforzo per modificare ulteriormente il kadmind per scrivere anche in userPassword è minimo e pertanto penso che lo faro' prossimamente.

Saluti
Fulvio

Si hai ragione. Scusami non intendevo dire che il lavoro da fare era banale ne che quello che hai fatto lo era. L'ho fatta facile perché ho notato che comunque replicavi la password sia sul database kerberos che su quello LDAP per utilizzarla con radius pertanto, e per similitudine, l'ho considerata una modifica fattibile con semplicità ma solo perché già avevi fatto qualcosa di similare.
Grande rispetto per te e per il tuo lavoro, sempre! Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it