Using Samba

Using Samba

Robert Eckstein, David Collier-Brown, Peter Kelly
1st Edition November 1999
1-56592-449-5, Order Number: 4495
416 pages, $34.95

Buy the hardcopy

Inhaltsverzeichnis

Previous: 9.3 Zusätzliche Ressourcen Anhang A Next: A.2 Voraussetzungen
 

A. Samba mit SSL konfigurieren

Inhalt:
Über Zertifikate
Voraussetzungen
SSLeay installieren
SSL Proxy einrichten
SSL Konfigurationsmöglichkeiten

Dieser Anhang beschreibt, wie Samba einzurichten ist, damit sichere Verbindungen zwischen dem Sambaserver und seinen Clients bestehen. Das hier verwendete Protokoll ist Netscape's Secure Sockets Layer (SSL). Für dieses Beispiel werden wir eine sichere Verbindung zwischen einem Sambaserver und einer Windows NT-Arbeitsstation etablieren.

Bevor wir beginnen, nehmen wir an, dass du mit den Grundlagen der Public-Key-Kryptographie und der X 509-Zertifikate vertraut bist. Wenn nicht, empfehlen wir dringend Bruce Schneier's Applied Cryptography, 2nd Edition (Wiley) als die erste Quelle zum Kennenlernen der vielen geheimen Gesichter der Kryptographie.

Wenn du gerne mehr Information über Samba und SSL hättest, such doch das Dokument SSLeay.txt im Verzeichnis docs/textdocs der Samba-Distribution, welches die Basis für diesen Anhang bildet.

A.1 Über Zertifikate

Hier sind ein paar schnelle Fragen und Antworten aus der Datei SSLeay.txt in der Samba-Dokumentation, betreffend die Vorteile von SSL und der Zertifikate. Dieser Text wurde von Christian Starkjohann für die Sambaprojekte geschrieben.

A.1.1 Was ist ein Zertifikat?

Ein Zertifikat wird von einem Herausgeber ausgegeben, gewöhnlich eine Certification Authority (CA), die etwas bestätigt, indem sie das Zertifikat herausgibt. Der Gegenstand dieser Bestätigung hängt von der Policy der CA ab. CAs für sichere Webserver (verwendet für Einkaufszentren usw.) beglaubigen üblicherweise nur, dass ein bestimmter Public-Key einem bestimmten Domänennamen gehört. Firmenweite CAs könnten beglaubigen, dass du ein Mitarbeiter der Firma bist, dass du die Erlaubnis hast einen Server zu benützen und so weiter.

A.1.2 Was ist ein X.509-Zertifikat, technisch?

Technisch gesehen, ist ein Zertifikat ein Datenblock, der vom Zertifikats-Herausgeber (der CA) gekennzeichnet ist. Die relevanten Felder sind:

  • Einmalige Bezeichnung (Name) des Zertifikats-Herausgebers

  • Zeitspanne, während der das Zertifikat gültig ist

  • Einmalige Bezeichnung (Name) des bestätigten Objekts

  • Public-Key des bestätigten Objekts

  • Die Unterschrift des Herausgebers über das oben Genannte

Wenn dieses Zertifikat verifiziert werden muss, muss der Prüfer eine Tabelle der Namen und Public-Keys von vertrauenswürdigen CAs haben. Der Einfachheit halber sollten diese Tabellen Zertifikate anführen, die von den jeweiligen CAs für sie selbst ausgegeben werden (selbst unterzeichnete Zertifikate).

A.1.3 Was sind die Bedeutungen dieser Zertifikats-Struktur?

Vier Bedeutungen folgen:

  • Weil das Zertifikat den Public-Key des Subjekts enthält, braucht man zusammen nur das Zertifikat und den privaten Key zum Verschlüsseln und Entschlüsseln.

  • Um Zertifikate zu überprüfen, brauchst du die Zertifikate aller CAs deines Vertrauens.

  • Die einfachste Form eines Dummy-Zertifikats ist eines, das vom Subjekt unterschrieben ist.

  • Eine CA ist notwendig. Der Client kann nicht einfach lokale Zertifikate für Server seines Vertrauens herausgeben, weil der Server bestimmt, welches Zertifikat er anbietet.

Previous: 9.3 Zusätzliche Ressourcen Next: A.2 Voraussetzungen
9.3 Zusätzliche Ressourcen Buch-Index (engl.) A.2 Voraussetzungen
O'Reilly Home | O'Reilly Bookstores | How to Order | O'Reilly Contacts
 International | About O'Reilly | Affiliated Companies

© 1999, O'Reilly & Associates, Inc.