OpenLDAP öffentlich
Martin Konold
martin.konold at erfrakon.de
Mit Mar 25 15:35:40 CET 2009
Am Mittwoch, 25. März 2009 10:46:31 schrieb Bernhard Reiter:
Hallo Christian,
> > Da er ja zudem auch ohne Authentifizierung Lesezugriff erlaubt, hat
> > somit jedermann Lesezugriff auf die Daten im LDAP, wie beispielsweise
> > die verfügbaren Domains, Benutzer, Einstellungen und so weiter.
Stimmt das wirklich? Anonyme LDAP User sollten nur das globale LDAP Adressbuch
sehen.
Wenn Du das nicht willst, dann musst Du das Abschalten. In der Verfügbarkeit
eines globalen Adressbuches sehe ich noch kein Sicherheitsproblem.
> > Ich gehe davon aus, dass slapd nur deshalb auf 0.0.0.0 läuft, weil eine
> > "normale" Kolab-Installation wahrscheinlich eher in einer geschützten
> > Intranet-Umgebung stattfindet.
Nein, diese Annahme gibt es bei Kolab nicht.
> Oft wird der Zugriff per LDAP per VPN auf die eigene Organisation
> beschränkt. Dann kann z.B. Outlook das auch fürs "globale" Adressbuch
> nutzen.
Der Zugriff kann einfach folgendermaßen ohne eine VPN Krücker über OpenLDAP
Acls und iptables geregelt werden.
Z.B. kannst Du definieren, dass nach außen nur LDAPS zulässt und das Adressbuch
nur authentifizierten Benutzern zeigst.
Das geht alles mit Board-Mitteln ohne spezielles Kolab Know-How.
Grüße,
-- martin
--
e r f r a k o n
Erlewein, Frank, Konold & Partner - Beratende Ingenieure und Physiker
Sitz: Adolfstraße 23, 70469 Stuttgart, Partnerschaftsregister Stuttgart PR 126
http://www.erfrakon.com/