Openldap et pass en clair sur le reseau

Openldap et pass en clair sur le reseau - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 14-03-2005 à 20:55:33    

Bonjour
 
J'ai une probleme concernant openldap et les mots de passe qui passent en clair sur le reséau. Voila la situation :
 
cote serveur :
 
openldap sous debian avec samba en tant que PDC nt4. Tout marche bien.
 
cote client :
 
Sous les clients linux, client openldap et ses amis : Nss, Pam et nscd. Tout est ok. Seulement je me suis apercu que le mot de passe utilisé lors d'une authentification est carrément transferé en clair sur le réseau !!!
 
Voici mon ldap.conf client  

Code :
  1. base    dc=*****,dc=fr
  2. URI ldap://serv1 ldap://serv2
  3. binddn  cn=nss,dc=****,dc=fr
  4. bindpw  secret
  5. # directive NSS PAM
  6. pam_password ssha
  7. nss_base_passwd ou=People,dc=***,dc=fr
  8. nss_base_shadow ou=People,dc=****,dc=fr
  9. nss_base_group  ou=Group,dc=***,dc=fr


 
et le slapd du serveur :

Code :
  1. include         /etc/ldap/schema/core.schema
  2. include         /etc/ldap/schema/cosine.schema
  3. include         /etc/ldap/schema/nis.schema
  4. include         /etc/ldap/schema/inetorgperson.schema
  5. include         /etc/ldap/schema/misc.schema
  6. include         /etc/ldap/schema/samba.schema
  7. schemacheck     on
  8. pidfile         /var/run/slapd/slapd.pid
  9. argsfile        /var/run/slapd.args
  10. loglevel        256
  11. modulepath      /usr/lib/ldap
  12. moduleload      back_bdb
  13. backend         bdb
  14. database        bdb
  15. suffix          "dc=***,dc=fr"
  16. directory       "/var/lib/ldap"
  17. index objectClass       eq
  18. index   sambaSID              eq
  19. index   sambaPrimaryGroupSID  eq
  20. index   sambaDomainName       eq
  21. index   default               sub
  22. # Where to store the replica logs for database #1
  23. replogfile      /var/lib/ldap/replog
  24. replica         host=xxx
  25.                 suffix="dc=xxx,dc=fr"
  26.                 binddn="cn=xx,dc=xx,dc=fr"
  27.                 credentials=secret
  28.                 bindmethod=simple
  29.                
  30. access to attribute=userPassword
  31.         by dn="cn=admin,dc=**,dc=fr" write
  32.         by dn="cn=nss,dc=***,dc=fr" read
  33.         by dn="cn=Administrator,ou=People,dc=**,dc=fr" write
  34.         by anonymous auth
  35.         by * none
  36. access to *
  37.         by dn="cn=admin,dc=**,dc=fr" write
  38.         by dn="cn=nss,dc=**,dc=fr" read
  39.         by dn="cn=Administrator,ou=People,dc=**,dc=fr" write
  40.         by * auth


 
Le pass du proxy user est egalement en clair sur le reseau, mais ca ne derange pas trop. Comment faire pour que le mdp du client ne soit pas transmis en clair ? Pourquoi le mdp n'est il pas haché est comparé à au hash présent sur le serveur ?  :??:  
 
merci de votre aide  :jap:


Message édité par hfrfc le 14-03-2005 à 21:04:40

---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 14-03-2005 à 20:55:33   

Reply

Marsh Posté le 15-03-2005 à 08:41:05    

!up les nerdz allez :O


Message édité par Klaimant le 15-03-2005 à 08:41:17

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 15-03-2005 à 08:42:05    

vi il est deja 8h45 là :o

Reply

Marsh Posté le 15-03-2005 à 15:36:37    

utilise SSL avec startTLS ou ldaps


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 15-03-2005 à 17:03:41    

oué c deja mis en place.
Mais est ce le comportement normal que les pass passent en clair sur le reseau sans TLS ? Je trouve ca gros qd meme !

Reply

Marsh Posté le 16-03-2005 à 14:02:58    

oui car le flux passe en clair ...
 
c'est comme telnet, pop, etc ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed