RE: Re: multiple secure authorization problems

От: Anatoly A. Orehovsky <CGatePro_at_mx_ru>
Дата: Fri 21 Jan 2005 - 13:32:52 MSK


Насколько я понимаю, CGP просто не поддерживает SPA для доступа по LDAP (только plain-text). А вот SSL работать будет. Но не для аутентификации по пользовательскому сертификату, а для криптования. Просто надо на клиентской машине иметь установленный сертификат сервера или CA, подписавшего серверный сертификат.

--
Anatoly A. Orehovsky AO9-RIPE AAO1-RIPN
 


> -----Original Message-----
> From: CommuniGate Pro Russian Discussions
> [mailto:CGatePro@mx.ru] On Behalf Of Наделяев Станислав Александрович
> Sent: 21 января 2005 г. 13:02
> To: CommuniGate Pro Russian Discussions
> Subject: [CGP] Re: multiple secure authorization problems
>
>
> Так и должно быть насколько я знаю. LDAP умеет только plain
> text пароли.
>
> > -----Original Message-----
> > From: CommuniGate Pro Russian Discussions
> [mailto:CGatePro@mx.ru] On
> > Behalf Of Anton Golubev
> > Sent: Friday, January 21, 2005 12:52 PM
> > To: CommuniGate Pro Russian Discussions
> > Subject: [CGP] multiple secure authorization problems
> >
> > Привет Сталкерам,
> >
> > Мой попытки сделать сеть безопасней столкнулись со следующим
> > противодействием со стороны CommuniGate Pro 4.2.8 (Linux).
> >
> > 1. Для LDAP авторизация невозможна из Outlook 2003 (connector
> > 1.1.12/1.1.12), если установлена безопасная проверка пароля
> (SPA) или
> > SSL. 2. Аналогичная ошибка при попытки включить "безопасную"
> > авторизацию в Outlook Express 6.
> >
> > Логи:
> >
> > Включается SPA:
> >
> > 12:50:07.09 4 LDAP-00187([10.2.1.5]) got connection on
> > [212.176.224.8:389] 12:50:07.09 5 LDAP-00187([10.2.1.5])
> inp: SEQ(16)
> > 02 01 0A 60 84 00 00 00 07 02 01 03 04 00 89 00
> > 12:50:07.09 4 LDAP-00187([10.2.1.5]) BINDing as ''
> > 12:50:07.09 1 LDAP-00187([10.2.1.5]) BIND failed: unsupported
> > authorization method
> > 12:50:07.09 5 LDAP-00187([10.2.1.5]) out: 30 2C 02 01 0A 61 27 0A 01
> 07
> > 04 00 04 20 75 6E 73 75 70 70 6F 72 74 65 64 20 61 75 74 68 6F 72 69
> 7A
> > 61 74 69 6F 6E 20 6D 65 74 68 6F 64
> > 12:50:07.09 5 LDAP-00187([10.2.1.5]) inp: SEQ(16) 02 01 0D
> 60 84 00 00
> > 00 07 02 01 03 04 00 89 00 12:50:07.09 4 LDAP-00187([10.2.1.5])
> > BINDing as '' 12:50:07.09 1 LDAP-00187([10.2.1.5]) BIND failed:
> > unsupported authorization method
> > 12:50:07.09 5 LDAP-00187([10.2.1.5]) out: 30 2C 02 01 0D 61 27 0A 01
> 07
> > 04 00 04 20 75 6E 73 75 70 70 6F 72 74 65 64 20 61 75 74 68 6F 72 69
> 7A
> > 61 74 69 6F 6E 20 6D 65 74 68 6F 64
> > 12:50:07.73 5 LDAP-00187([10.2.1.5]) inp: SEQ(5) 02 01 0E 42 00
> > 12:50:07.73 4 LDAP-00187([10.2.1.5]) disconnecting 12:50:07.73 4
> > LDAP-00187([10.2.1.5]) closing connection 12:50:07.73 4
> > LDAP-00187([10.2.1.5]) releasing stream
> >
> >
> > Включается SSL:
> >
> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) got connection on
> > [212.176.224.8:636] 12:47:49.05 5 LDAP-00184([10.2.1.5])
> TLS inp 22:
> > (45) 01 00 00 29 03
> 01
> > 41 F0 CF 4E 24 9F 29 E1 21 C8 6F 1B 38 95 87 6A 8B 87 E7 D3 51 30 F5
> C5
> > FA 96 09 D4 4B 01 38 BE 00 00 02 00 0A 01 00
> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLSv1 client hello:
> > method=DES3_SHA, residual=0, session=2268 < 00 00 08 DC 41
> F0 CF C5 C8
> > C7 22 B9 9C ED EA 25 23 8C 80 AF DD FF 00 E4 53 AC 3A 5B EB
> 19 5C 34>
> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLS handshake: sending
> > 'server_hello' 12:47:49.05 5 LDAP-00184([10.2.1.5]) TLS out
> 22: (74)
> > 02 00 00 46 03
> 01
> > 41 7C CF C5 30 30 30 30 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11
> 11
> > 11 11 11 11 66 87 42 42 20 00 00 08 DC 41 F0 CF C5 C8 C7 22 B9 9C ED
> EA
> > 25 23 8C 80 AF DD FF 00 E4 53 AC 3A 5B EB 19 5C 34 00 0A 00
> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLS handshake: sending the
> > certificate 12:47:49.05 5 LDAP-00184([10.2.1.5]) TLS out
> 22: (676) 0B
> > 00 02 A0 00
> 02
> > 9D 00 02 9A 30 82 02 96 30 82 01 FF 02 04 20 E5 55 7B 30 0D 06 09 2A
> 86
> > 48 86 F7 0D 01 01 04 05 00 30 81 91 31 0B 30 09 06 03 55 04 06 13 02
> 52
> > 55 31 1B 30 19 06 03 55 04 08 13 12 52 75 73 73 69 61 6E 20 46 65 64
> 65
> > 72 61 74
> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLS handshake: sending
> 'hello_done'
> > 12:47:49.05 5 LDAP-00184([10.2.1.5]) TLS out 22: (4) 0E 00 00 00
> > 12:47:51.91 5 LDAP-00184([10.2.1.5]) TLS out 21: (2) 02 0A
> 12:47:51.91
> > 3 LDAP-00184([10.2.1.5]) failed to accept a secure connection on
> > [212.176.224.8:636]. Error Code=connection closed by
> peer
> > 12:47:51.91 4 LDAP-00184([10.2.1.5]) closing connection
> 12:47:51.91 4
> > LDAP-00184([10.2.1.5]) releasing stream
> >
> >
> > --
> > С уважением,
> > Антон Голубев
> > ИВЦ ИНЖЭКОН
> > тел. +7 812 1185005 *7169
> > факс. +7 812 1120608
> > моб. +7 921 7444195
> > icq 70145498
> >
> > P.S. Без SPA, все работает замечательно.
> >
> >
> >
> >
> > ##################################################################
> > Вы получили это сообщение потому, что подписаны на список рассылки
> > <CGatePro@mx.ru>.
> >
> > Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> > Чтобы переключиться в режим дайджеста -
> mailto:<CGatePro-digest@mx.ru>
> > Чтобы переключиться в индексный режим -
> mailto:<CGatePro-index@mx.ru>
> > Для административных запросов адрес <CGatePro-request@mx.ru>
> >
> >
>
>
>
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес
> <CGatePro-off@mx.ru> Чтобы переключиться в режим дайджеста -
> mailto:<CGatePro-digest@mx.ru> Чтобы переключиться в
> индексный режим - mailto:<CGatePro-index@mx.ru> Для
> административных запросов адрес <CGatePro-request@mx.ru>
>
>
>
>
Получено Fri Jan 21 10:33:00 2005

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:27 MSK