Openldap et pass en clair sur le reseau

Openldap et pass en clair sur le reseau - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 14-03-2005 à 20:55:33    

Bonjour
 
J'ai une probleme concernant openldap et les mots de passe qui passent en clair sur le reséau. Voila la situation :
 
cote serveur :
 
openldap sous debian avec samba en tant que PDC nt4. Tout marche bien.
 
cote client :
 
Sous les clients linux, client openldap et ses amis : Nss, Pam et nscd. Tout est ok. Seulement je me suis apercu que le mot de passe utilisé lors d'une authentification est carrément transferé en clair sur le réseau !!!
 
Voici mon ldap.conf client  

Code :
  1. base    dc=*****,dc=fr
  2. URI ldap://serv1 ldap://serv2
  3. binddn  cn=nss,dc=****,dc=fr
  4. bindpw  secret
  5. # directive NSS PAM
  6. pam_password ssha
  7. nss_base_passwd ou=People,dc=***,dc=fr
  8. nss_base_shadow ou=People,dc=****,dc=fr
  9. nss_base_group  ou=Group,dc=***,dc=fr


 
et le slapd du serveur :

Code :
  1. include         /etc/ldap/schema/core.schema
  2. include         /etc/ldap/schema/cosine.schema
  3. include         /etc/ldap/schema/nis.schema
  4. include         /etc/ldap/schema/inetorgperson.schema
  5. include         /etc/ldap/schema/misc.schema
  6. include         /etc/ldap/schema/samba.schema
  7. schemacheck     on
  9. pidfile         /var/run/slapd/slapd.pid
  11. argsfile        /var/run/slapd.args
  12. loglevel        256
  13. modulepath      /usr/lib/ldap
  14. moduleload      back_bdb
  16. backend         bdb
  18. database        bdb
  19. suffix          "dc=***,dc=fr"
  20. directory       "/var/lib/ldap"
  21. index objectClass       eq
  22. index   sambaSID              eq
  23. index   sambaPrimaryGroupSID  eq
  24. index   sambaDomainName       eq
  25. index   default               sub
  27. # Where to store the replica logs for database #1
  28. replogfile      /var/lib/ldap/replog
  29. replica         host=xxx
  30.                 suffix="dc=xxx,dc=fr"
  31.                 binddn="cn=xx,dc=xx,dc=fr"
  32.                 credentials=secret
  33.                 bindmethod=simple
  34.                
  35. access to attribute=userPassword
  36.         by dn="cn=admin,dc=**,dc=fr" write
  37.         by dn="cn=nss,dc=***,dc=fr" read
  38.         by dn="cn=Administrator,ou=People,dc=**,dc=fr" write
  39.         by anonymous auth
  40.         by * none
  42. access to *
  43.         by dn="cn=admin,dc=**,dc=fr" write
  44.         by dn="cn=nss,dc=**,dc=fr" read
  45.         by dn="cn=Administrator,ou=People,dc=**,dc=fr" write
  46.         by * auth


 
Le pass du proxy user est egalement en clair sur le reseau, mais ca ne derange pas trop. Comment faire pour que le mdp du client ne soit pas transmis en clair ? Pourquoi le mdp n'est il pas haché est comparé à au hash présent sur le serveur ?  :??:  
 
merci de votre aide  :jap:


Message édité par hfrfc le 14-03-2005 à 21:04:40

---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 14-03-2005 à 20:55:33   

Reply

Marsh Posté le 15-03-2005 à 08:41:05    

!up les nerdz allez :O


Message édité par Klaimant le 15-03-2005 à 08:41:17

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 15-03-2005 à 08:42:05    

vi il est deja 8h45 là :o

Reply

Marsh Posté le 15-03-2005 à 15:36:37    

utilise SSL avec startTLS ou ldaps


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 15-03-2005 à 17:03:41    

oué c deja mis en place.
Mais est ce le comportement normal que les pass passent en clair sur le reseau sans TLS ? Je trouve ca gros qd meme !

Reply

Marsh Posté le 16-03-2005 à 14:02:58    

oui car le flux passe en clair ...
 
c'est comme telnet, pop, etc ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed