RE: Re: multiple secure authorization problems

Насколько я понимаю, CGP просто не поддерживает SPA для доступа по LDAP (только plain-text). А вот SSL работать будет. Но не для аутентификации по пользовательскому сертификату, а для криптования. Просто надо на клиентской машине иметь установленный сертификат сервера или CA, подписавшего серверный сертификат.

--
Anatoly A. Orehovsky AO9-RIPE AAO1-RIPN
 



> -----Original Message-----


> From: CommuniGate Pro Russian Discussions 

> [mailto:CGatePro@mx.ru] On Behalf Of Наделяев Станислав Александрович

> Sent: 21 января 2005 г. 13:02

> To: CommuniGate Pro Russian Discussions

> Subject: [CGP] Re: multiple secure authorization problems

> 

> 

> Так и должно быть насколько я знаю. LDAP умеет только plain 

> text пароли.

> 

> > -----Original Message-----

> > From: CommuniGate Pro Russian Discussions 

> [mailto:CGatePro@mx.ru] On 

> > Behalf Of Anton Golubev

> > Sent: Friday, January 21, 2005 12:52 PM

> > To: CommuniGate Pro Russian Discussions

> > Subject: [CGP] multiple secure authorization problems

> > 

> > Привет Сталкерам,

> > 

> > Мой попытки сделать сеть безопасней столкнулись со следующим 

> > противодействием со стороны CommuniGate Pro 4.2.8 (Linux).

> > 

> > 1. Для LDAP авторизация невозможна из Outlook 2003 (connector 

> > 1.1.12/1.1.12), если установлена безопасная проверка пароля 

> (SPA) или 

> > SSL. 2. Аналогичная ошибка при попытки включить "безопасную" 

> > авторизацию в Outlook Express 6.

> > 

> > Логи:

> > 

> > Включается SPA:

> > 

> > 12:50:07.09 4 LDAP-00187([10.2.1.5]) got connection on 

> > [212.176.224.8:389] 12:50:07.09 5 LDAP-00187([10.2.1.5]) 

> inp: SEQ(16) 

> > 02 01 0A 60 84 00 00 00 07 02 01 03 04 00 89 00

> > 12:50:07.09 4 LDAP-00187([10.2.1.5]) BINDing as ''

> > 12:50:07.09 1 LDAP-00187([10.2.1.5]) BIND failed: unsupported

> > authorization method

> > 12:50:07.09 5 LDAP-00187([10.2.1.5]) out: 30 2C 02 01 0A 61 27 0A 01

> 07

> > 04 00 04 20 75 6E 73 75 70 70 6F 72 74 65 64 20 61 75 74 68 6F 72 69

> 7A

> > 61 74 69 6F 6E 20 6D 65 74 68 6F 64

> > 12:50:07.09 5 LDAP-00187([10.2.1.5]) inp: SEQ(16) 02 01 0D 

> 60 84 00 00 

> > 00 07 02 01 03 04 00 89 00 12:50:07.09 4 LDAP-00187([10.2.1.5]) 

> > BINDing as '' 12:50:07.09 1 LDAP-00187([10.2.1.5]) BIND failed: 

> > unsupported authorization method

> > 12:50:07.09 5 LDAP-00187([10.2.1.5]) out: 30 2C 02 01 0D 61 27 0A 01

> 07

> > 04 00 04 20 75 6E 73 75 70 70 6F 72 74 65 64 20 61 75 74 68 6F 72 69

> 7A

> > 61 74 69 6F 6E 20 6D 65 74 68 6F 64

> > 12:50:07.73 5 LDAP-00187([10.2.1.5]) inp: SEQ(5) 02 01 0E 42 00 

> > 12:50:07.73 4 LDAP-00187([10.2.1.5]) disconnecting 12:50:07.73 4 

> > LDAP-00187([10.2.1.5]) closing connection 12:50:07.73 4 

> > LDAP-00187([10.2.1.5]) releasing stream

> > 

> > 

> > Включается SSL:

> > 

> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) got connection on 

> > [212.176.224.8:636] 12:47:49.05 5 LDAP-00184([10.2.1.5]) 

> TLS inp 22: 

> > (45) 01 00 00 29 03

> 01

> > 41 F0 CF 4E 24 9F 29 E1 21 C8 6F 1B 38 95 87 6A 8B 87 E7 D3 51 30 F5

> C5

> > FA 96 09 D4 4B 01 38 BE 00 00 02 00 0A 01 00

> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLSv1 client hello: 

> > method=DES3_SHA, residual=0, session=2268 < 00 00 08 DC 41 

> F0 CF C5 C8 

> > C7 22 B9 9C ED EA 25 23 8C 80 AF DD FF 00 E4 53 AC 3A 5B EB 

> 19 5C 34> 

> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLS handshake: sending 

> > 'server_hello' 12:47:49.05 5 LDAP-00184([10.2.1.5]) TLS out 

> 22: (74) 

> > 02 00 00 46 03

> 01

> > 41 7C CF C5 30 30 30 30 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11

> 11

> > 11 11 11 11 66 87 42 42 20 00 00 08 DC 41 F0 CF C5 C8 C7 22 B9 9C ED

> EA

> > 25 23 8C 80 AF DD FF 00 E4 53 AC 3A 5B EB 19 5C 34 00 0A 00 

> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLS handshake: sending the 

> > certificate 12:47:49.05 5 LDAP-00184([10.2.1.5]) TLS out 

> 22: (676) 0B 

> > 00 02 A0 00

> 02

> > 9D 00 02 9A 30 82 02 96 30 82 01 FF 02 04 20 E5 55 7B 30 0D 06 09 2A

> 86

> > 48 86 F7 0D 01 01 04 05 00 30 81 91 31 0B 30 09 06 03 55 04 06 13 02

> 52

> > 55 31 1B 30 19 06 03 55 04 08 13 12 52 75 73 73 69 61 6E 20 46 65 64

> 65

> > 72 61 74

> > 12:47:49.05 4 LDAP-00184([10.2.1.5]) TLS handshake: sending

> 'hello_done'

> > 12:47:49.05 5 LDAP-00184([10.2.1.5]) TLS out 22: (4) 0E 00 00 00 

> > 12:47:51.91 5 LDAP-00184([10.2.1.5]) TLS out 21: (2) 02 0A 

> 12:47:51.91 

> > 3 LDAP-00184([10.2.1.5]) failed to accept a secure connection on 

> > [212.176.224.8:636]. Error Code=connection closed by

> peer

> > 12:47:51.91 4 LDAP-00184([10.2.1.5]) closing connection 

> 12:47:51.91 4 

> > LDAP-00184([10.2.1.5]) releasing stream

> > 

> > 

> > --

> > С уважением,

> > Антон Голубев

> > ИВЦ ИНЖЭКОН

> > тел. +7 812 1185005 *7169

> > факс. +7 812 1120608

> > моб. +7 921 7444195

> > icq 70145498

> > 

> > P.S. Без SPA, все работает замечательно.

> > 

> > 

> > 

> > 

> > ##################################################################

> > Вы получили это сообщение потому, что подписаны на список рассылки

> >   <CGatePro@mx.ru>.

> > 

> > Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> 

> > Чтобы переключиться в режим дайджеста - 

> mailto:<CGatePro-digest@mx.ru> 

> > Чтобы переключиться в индексный режим - 

> mailto:<CGatePro-index@mx.ru> 

> > Для административных запросов адрес <CGatePro-request@mx.ru>

> > 

> > 

> 

> 

> 

> 

> 

> ##################################################################

> Вы получили это сообщение потому, что подписаны на список рассылки

>   <CGatePro@mx.ru>.

> 

> Чтобы отписаться, отправьте сообщение на адрес 

> <CGatePro-off@mx.ru> Чтобы переключиться в режим дайджеста - 

> mailto:<CGatePro-digest@mx.ru> Чтобы переключиться в 

> индексный режим - mailto:<CGatePro-index@mx.ru> Для 

> административных запросов адрес <CGatePro-request@mx.ru>

> 

> 

> 

>