<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 7, 2016 at 9:14 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 03/05/2016 06:00 AM, Rob Crittenden wrote:<br>
> Natxo Asenjo wrote:<br>
>><br>
>> By the way, revoking the certificate does not block applications using<br>
>> it from ldap.<br>
>><br>
>> I can still access the ldap server using this cert/key pair *after*<br>
>> revoking the certificate using ipa cert-revoke <serialnr>. In order to<br>
>> block it I need to remove the seeAlso value of the user account, or the<br>
>> certificate attribute.<br>
>><br>
>> I do not know if this is a security issue, but maybe worthwhile<br>
>> documenting just in case.<br>
><br>
> SSL/TLS servers don't automatically check for cert revocation. You need<br>
> to add the CRL to the 389-ds NSS database periodically. I don't know for<br>
> sure but I don't think 389-ds can use OCSP to validate incoming client<br>
> certs. There is an IPA ticket in the backlog to investigate this for the<br>
> web and ldap servers: <a href="https://fedorahosted.org/freeipa/ticket/3542" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/3542</a><br>
><br>
> And yeah, as you discovered, managing the value of CmapLdapAttr is a<br>
> poor man's revocation.<br>
<br>
</span>I saved Natxo's contributed article here:<br>
<a href="http://www.freeipa.org/page/Howto/Client_Certificate_Authentication_with_LDAP" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Howto/Client_Certificate_Authentication_with_LDAP</a><br>
for now.<br>
 </blockquote><div><br></div><div>Thanks!<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My take on this is that it probably works, but I am curious actually what<br>
problem you are solving. Are you interested only in allowing Certificate<br>
authentication with FreeIPA LDAP or rather in allowing certificate<br>
authentication in your application, whatever are the means?<br>
</blockquote><div><br></div><div>both :-). Having name/password combinations in application settings is less desirable than having certificate/key paths. I know both accomplish the same thing (authenticate to the directory), but having certificates is less controversial (no need for third parties to know *that* password that is probably being used somewhere else as well, for instance. Having a simple way to 'revoke' the access is nice as well.<br><br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
If this is the case, would leveraging SSSD Smart Card/certificate<br>
authentication help? At minimum, it can lookup users by certificate:<br>
<br>
<a href="https://fedorahosted.org/sssd/wiki/DesignDocs/LookupUsersByCertificate" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/DesignDocs/LookupUsersByCertificate</a><br>
<br>
With leveraging SSSD, you should be able to avoid manual user mapping in<br>
FreeIPA LDAP. I am not sure though how the revocation would work. CCing Sumit<br>
on this one</blockquote><div><br></div><div>Interesting, I did not know about this possibility of sssd. I need to read it through, it might address our needs. Thanks for pointing me to it.<br><br></div><div>What in my opinion would be really interesting would be to have something similar to the submission port on smtp servers. A different instance of the directory where only some kind of authentication are possible.<br><br></div><div>Right now when using port 389 I can choose between a combination of SASL mechanisms, and if in dse.ldif anonymous auth and minssf are modified, then I can force the usage of secure protocols. What I would like is to have a way to disable password authentication mechanisms on a ldap port, while keeping it enabled on the other. So we could close one port to the outside world, and keep it open on the LAN, for instance. <br><br></div><div>Is this even possible?<br></div><div><br></div><div></div></div>--<br><div class="gmail_signature">Groeten,<br>natxo</div>
</div></div>