Toon posts:

[Samba+OpenLDAP] Problemen met 'strong authentication'

Pagina: 1
Acties:

zaterdag 19 maart 2005 16:29

Acties:

Verwijderd

Topicstarter
Dames en heren,

Ik heb een probleempje waar ik niet uit kom. Ik heb de IDEALX howto gevolgd om samba leuk samen te laten spelen met OpenLDAP. Met wat kunst en vliegwerk (want die howto is toch niet helemaal waterdicht, lijkt wel), heb ik alles op eerste gezicht werkend gekregen.

Wat is dan het probleem? Simpel: ik kan niets (voor zover ik kan zien) door middel van utilities wijzigen in de LDAP database. Elke tool die ik probeer moppert over 'strong(er) authentication required'. Ik heb google al afgestruind, net als GoT, maar heb niet kunnen vinden waar het aan ligt. Ik vermoed dat ik in de verkeerde hoek zoek... Wie helpt me even de goede richting in....

Even resume overflakkee:

OpenLDAP draait, schemas zitten erin. Ik kan gegevens zien in de LDAP database, en als ik op de server zelf door middel van slapcat en ldapadd, etc werk, werkt een en ander goed (voor zover ik zien kan). Zodra ik evenwel iets probeer 'van buiten af' (lees: gui utility, of inloggen vanaf een windows doos) lijkt het fout te gaan. Waar moet ik beginnen te zoeken?

Bvd!

zondag 20 maart 2005 14:08

Acties:

Verwijderd

Krijg je deze melding als je wil inloggen op je ldapserver? Of gaat dat wel goed?
Zoja dan zou het nog te maken kunnen hebben met de password encryptie die je gekozen hebt voor je gebruikers. Je moet in je smbldap-tools.conf aangeven welke type je gebruikt. Misschien moet je hier iets anders (ssha, crypt..enz) proberen.

zondag 20 maart 2005 18:12

Acties:

Verwijderd

* Vm1heA gokt zomaar dat in de slapd.conf opgegeven is dat een minimaal security level vereist is.En aangezien smbldap hoogstwaarschijnlijk op simple binds over een niet TLS lijn ingesteld staat mag dit niet.

Een dergelijke foutmelding is redelijk voorzichzelf sprekend en misschien dat het dan verstandig is om iets meer over ldap te weten te komen wil je je machine enigszins veilig houden

maandag 21 maart 2005 06:56

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op zondag 20 maart 2005 @ 18:12:
* Vm1heA gokt zomaar dat in de slapd.conf opgegeven is dat een minimaal security level vereist is.En aangezien smbldap hoogstwaarschijnlijk op simple binds over een niet TLS lijn ingesteld staat mag dit niet.

Een dergelijke foutmelding is redelijk voorzichzelf sprekend en misschien dat het dan verstandig is om iets meer over ldap te weten te komen wil je je machine enigszins veilig houden
Jij gokt? Leuk.. Ik heb de manpage van de slapd.conf doorgespit op zoek naar iets wat met het security levels te maken heeft en niets kunnen vinden. Ik heb de openldap site doorgespit en ook daar ben ik niet veel wijzer geworden.

Dat jij een dergelijke foutmelding voor zich vindt spreken, kan natuurlijk altijd. Maar meteen er maar achteraan melden dat ik dan maar eerst iets over ldap moet gaan leren voordat ik ermee moet gaan prutsen vind ik nu niet echt een slimme opmerking: ik ga, zolang ik niet het idee heb dat een en ander knap beveiligd is, zeker iets dergelijks nog niet in een productie-omgeving inzetten en voorlopig al helemaal niet aan het internet hangen.

De setup is nu nog helemaal ingesteld (naar eer en geweten tenminste) met cleartext passwords... Bepaald niet productie rijp...

Als je betere en vooral meer gerichte hints en tips hebt, hoor ik het graag..

maandag 21 maart 2005 07:13

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 11-02 13:45

Leon

Rise Of The Robots

Kijk eens naar de "allow" of de "security" optie in slapd.conf
Ik weet niet of die er nou al in staat, maar je zou daar eens kunnen kijken :)

[ Voor 58% gewijzigd door Leon op 21-03-2005 07:15 ]

Eeuwige n00b

maandag 21 maart 2005 07:13

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op zondag 20 maart 2005 @ 14:08:
Krijg je deze melding als je wil inloggen op je ldapserver? Of gaat dat wel goed?
Zoja dan zou het nog te maken kunnen hebben met de password encryptie die je gekozen hebt voor je gebruikers. Je moet in je smbldap-tools.conf aangeven welke type je gebruikt. Misschien moet je hier iets anders (ssha, crypt..enz) proberen.
Als ik direct op de server met de ldap tools werk (ldapadd bijv. werkt een en ander wel. Probeer ik het door middel van een gui (bijv. luma) dan krijg ik in de console de melding 'strong(er) authentication required'. Het is me nog niet gelukt om vanaf een windows machine de samba shares te benaderen.

maandag 21 maart 2005 07:17

Acties:

Verwijderd

Topicstarter
Ok folks. Ik heb iets gevonden waar een en ander niet helemaal lekker loopt: had een config file in /etc over het hoofd gezien. Ik ga deze even doorspitten en kom dan weer terug met meer nieuws..

maandag 21 maart 2005 13:59

Acties:

Verwijderd

Verwijderd schreef op maandag 21 maart 2005 @ 06:56:
[...]


Jij gokt? Leuk.. Ik heb de manpage van de slapd.conf doorgespit op zoek naar iets wat met het security levels te maken heeft en niets kunnen vinden. Ik heb de openldap site doorgespit en ook daar ben ik niet veel wijzer geworden.
Neuh, was niet echt een gok nee.
Dat jij een dergelijke foutmelding voor zich vindt spreken, kan natuurlijk altijd. Maar meteen er maar achteraan melden dat ik dan maar eerst iets over ldap moet gaan leren voordat ik ermee moet gaan prutsen vind ik nu niet echt een slimme opmerking: ik ga, zolang ik niet het idee heb dat een en ander knap beveiligd is, zeker iets dergelijks nog niet in een productie-omgeving inzetten en voorlopig al helemaal niet aan het internet hangen.
Dan is het goed. Was ook alleen maar een goed bedoelde waarschuwing hoor. Je wil niet weten hoe vaak ik zelfs in productie omgevingen slecht beveiligde ldap directories tegenkom. De risico's die daarmee gepaard gaan voor bedrijven zijn tamelijk groot :+
Als je betere en vooral meer gerichte hints en tips hebt, hoor ik het graag..
Ik liet denk ik al vrij goed doorschemeren dat ik eens naar security level en de bind methode zou kijken.
Grote kans dat je met ldapadd werkt met md5 of sasl binds terwijl smbldap met een simple bind werkt. Deze laatste is over een niet TLS/SSL lijn niet echt aan te raden ;)

[ Voor 8% gewijzigd door Verwijderd op 21-03-2005 14:01 ]

maandag 21 maart 2005 13:59

Acties:
  • Papillon
  • Registratie: Januari 2000
  • Laatst online: 23-09-2025

Papillon

Spring 's in the Air...

LDAP kan net als HTTP via twee poorten, een unsecure (plain ASCII) en een encrypted poort. Het kan zijn dat authenticatie via de unencrypted poort is toegestaan en TLS niet goed is geconfigureerd. Controleer of encrypted authenticatie goed werkt (ldapsearch -ZZ ....... Dubbele Z is een test dat perse via de encrypted poort moet verlopen). Als dat naar behoren functioneert kun je de ldapserver zo instellen dat ie de unencrypted niet meer toestaat (er zijn uiteraard meerdere methoden om dat te realiseren). Controleer vervolgens of de authenticatie van smb dan nog steeds functioneert.

F u cn rd ths, u mght hv a gd jb n cmptr prgmmng.

maandag 21 maart 2005 14:12

Acties:

Verwijderd

Topicstarter
Ik had de /etc/ldap.conf over het hoofd gezien omdat er ook een ldap.conf in /etc/openldap stond. Hierdoor begonnen de problemen. Ik was inderdaad al veel tegen gekomen over ldap, ldaps en tls, zodat ik hier eigenlijk al een beetje op voorbereid was. Het nadeel hiervan was dat ik de problemen door de 'extra' ldap.conf verwarde met de security issues.

Ik ben nu zover dat ik een succesvolle connectie heb, via tls, met ldap, vanuit samba en de overige tools. Ik moet nog even kijken of de guis ook willen meewerken na de laatste changes.

Iedereen in ieder geval bedankt voor de assistentie!

maandag 21 maart 2005 14:12

Acties:

Verwijderd

Topicstarter
Papillon schreef op maandag 21 maart 2005 @ 13:59:
LDAP kan net als HTTP via twee poorten, een unsecure (plain ASCII) en een encrypted poort. Het kan zijn dat authenticatie via de unencrypted poort is toegestaan en TLS niet goed is geconfigureerd. Controleer of encrypted authenticatie goed werkt (ldapsearch -ZZ ....... Dubbele Z is een test dat perse via de encrypted poort moet verlopen). Als dat naar behoren functioneert kun je de ldapserver zo instellen dat ie de unencrypted niet meer toestaat (er zijn uiteraard meerdere methoden om dat te realiseren). Controleer vervolgens of de authenticatie van smb dan nog steeds functioneert.
Die test was inderdaad de sleutel tot het oplossen van de verdere problemen :D
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq