Week 1 - Linux LDAP (IdM)

Question 1

Is LDAP een veilig protocol?

Answer 1

Nee iedereen met toegang tot het netwerk kan met een packet sniffer zien welke gegevens langskomen inclusief de gebruikte wachtwoorden.

Question 2

Hoe kan LDAP beveiligd worden?

Answer 2

Door encryptie toe te passen op de verbinding a. end-to-end (LDAPS) b. encryptie toevoegen na het opzetten van de verbinding (STARTTLS)

Question 3

Welke poort wordt doorgaans gebruikt voor onbeveiligde LDAP?

Answer 3

TCP poort 389 deze conventie houdt ook Active Directory aan.

Question 4

In het boek staat op pagina 735 een fout: … LDAPS, usually running on TCP port 686 …. Wat is de werkelijke poort waar LDAPS doorgaans gebruik van maakt?

Answer 4

TCP poort 636 deze conventie houdt ook Active Directory aan.

Question 5

Wat is het voordeel van authenticatie tegen LDAP in tegenstelling tot lokale accounts (/etc/passwd, /etc/group etc.)?

Answer 5

De accounts kunnen centraal beheerd worden. Dit scheelt de beheerder veel werk (aanpassingen hoeven niet op elk systeem afzonderlijk doorgevoerd te worden) en maakt het mogelijk om wijzigingen (met name het verwijderen of blokkeren van accounts of het wijzigen van een wachtwoord) snel over het hele netwerk door te voeren.

Question 6

In welk opzicht is het veiliger om een pull system te gebruiken om bestanden te verspreiden dan om een push system te gebruiken?

Answer 6

Bij gebruik van een push system is er geen controle over welke gegevens gepusht worden dit is minder veilig dan een pull system waarbij de client configuratie bepaalt welke gegevens opgehaald worden van de centrale server

Question 7

Is LDAP een push of een pull system om systeemconfiguraties te verspreiden?

Answer 7

Een pull system want de clients halen hun informatie op bij de server

Question 8

Waarom heet LDAP het Light Directory Access Protocol? Ten opzichte waarvan is het een minder complexe oplossing?

Answer 8

LDAP is afgeleid van het veel oudere X.500 directory protocol dat veel complexer is en meer resources vereist

Question 9

Hoe wordt het opzetten en beëindigen van een LDAP sessie genoemd?

Answer 9

Bind respectievelijk unbind. In WireShark zijn bindRequest en unbindRequest ook goed herkenbaar.

Question 10

Probeer in je practicumomgeving zonder te authentiseren een query te doen met ldapsearch (ldapsearch -xLLL -H ldap://server1 -b “dc=school,dc=test” uid=leraar) of JXplorer. Krijg je met de standaardinstellingen van OpenLDAP het wachtwoord (userPassword) te zien?

Answer 10

Nee normaal gesproken mag dit veld alleen uitgelezen worden door de admin user.