|
|
|
LDAP аутентификация с использованием TLS-шифрования
|
|||
|---|---|---|---|
|
#18+
Добрый день ! Помогите по возможности советом. Есть инсталляция Postgres 9.6. Возникла необходимость в аутентификации пользователей по LDAP (в Active Directory). Без использования шифрования - всё проходит, но есть желание попробовать TLS. Как правильно это сделать ? Сейчас строка подключения типа : host ... ldap ldapserver="ldap.domain.ru" ldapprefix="cn=" ldapsuffix=", ou=users, dc=domain, dc=ru" Хаотичные добавление ldaptls=1, манипуляции с портами ldapport=389|636 результатов не дали. Может кто подскажет откуда начать по-правильному ? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2020, 15:51 |
|
||
|
LDAP аутентификация с использованием TLS-шифрования
|
|||
|---|---|---|---|
|
#18+
prokhorov, Для начала включите логирование побольше и смотрите ошибки в логе. Также смотрите, что у вас в домене логируется. Он вообще поддерживает LDAPs ?? Если это не помагает, то я в свое время брал wireshark и смотрел, что ходит между Постгресом и LDAP-сервером. Правда у меня был не TLS, но полагаю хотя бы установление TLS соединения вам wireshark поймает и может быть это объяснит причину, что не так вы делаете. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2020, 21:24 |
|
||
|
LDAP аутентификация с использованием TLS-шифрования
|
|||
|---|---|---|---|
|
#18+
Спасибо за ответ ! LDAP без TLS работает корректно. Проблемы начинаются при настройке ldaptls=1 (стандартная ошибка неправильной аутентификации). По умолчанию, протокол LDAP не шифрует пару логин-пароль, что очень нехорошо. Для борьбы с этим существуют 2 подхода : LDAPS (нашло отражение в доках для PG v11+) и запуск startTLS (видимо все версии). Весь вопрос как это сделать корректно в PG 9.6 : как получить pem файл от AD (?), куда его правильно подложить ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.09.2020, 10:36 |
|
||
|
LDAP аутентификация с использованием TLS-шифрования
|
|||
|---|---|---|---|
|
#18+
prokhorov, Ну так а все таки... Какие ошибки в логе Постгреса. Я посмотрел исходники 9.6 в части установления LDAP+TLS соединения, там на каждом шаге инициализации должны выводиться внятные ошибки. У вас что выводится?? Вы смотрела логи Постгреса?? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.09.2020, 20:40 |
|
||
|
LDAP аутентификация с использованием TLS-шифрования
|
|||
|---|---|---|---|
|
#18+
grgdvo, Ошибки такого вида : LOG: could not start LDAP TLS session: Can't contact LDAP server LDAP authentication failed for user "test" DETAIL: Connection matched pg_hba.conf line 91: "host /..." Но вроде разобрались на основании этого (openLDAP) : https://www.digitalocean.com/community/tutorials/how-to-encrypt-openldap-connections-using-starttls Раздел "Configuring Remote Clients" : - сертификат CA центра (ca_certs.pem) размещается в директории /etc/openldap/certs - в конфигурационном файле /etc/openldap/ldap.conf добавляется TLS_CACERT /etc/openldap/certs/ca_certs.pem - можно вместо системного ldap.conf использовать локальный конфиг для postgres (~/.ldaprc) Описание конфигурационного файла : https://manpages.debian.org/jessie/libldap-2.4-2/ldap.conf.5.en.html Интересна вся секция TLS OPTIONS. Закавыка вышла с CA сертификатом от AD, но проверку его можно отключить в том же конфигурационном файле TLS_REQCERT (never|allow). Как результат : ошибки пропали (при ldaptls=1), просмотрен трафик (tcpdump) - уже не открыто, вроде шифровано. Не знаю, насколько это всё верно - пока дальше изучаем. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.09.2020, 18:43 |
|
||
|
|
start [/forum/topic.php?fid=53&msg=40000556&tid=1994461]: |
0ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
52ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
48ms |
get tp. blocked users: |
2ms |
| others: | 285ms |
| total: | 434ms |
| 0 / 0 |
