<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Le 10/12/2012 23:11, Alon Bar-Lev a
      écrit :<br>
    </div>
    <blockquote
      cite="mid:1784521991.4294776.1355177461752.JavaMail.root@redhat.com"
      type="cite">
      <pre wrap="">

----- Original Message -----
</pre>
      <blockquote type="cite">
        <pre wrap="">From: "Yaniv Kaul" <a class="moz-txt-link-rfc2396E" href="mailto:ykaul@redhat.com">&lt;ykaul@redhat.com&gt;</a>
To: "Thierry Kauffmann" <a class="moz-txt-link-rfc2396E" href="mailto:thierry.kauffmann@univ-montp2.fr">&lt;thierry.kauffmann@univ-montp2.fr&gt;</a>
Cc: <a class="moz-txt-link-abbreviated" href="mailto:users@ovirt.org">users@ovirt.org</a>
Sent: Monday, December 10, 2012 11:58:30 PM
Subject: Re: [Users] Adding Authentication mechanism to oVirt



Wasn't it going to be deprecated?
<a class="moz-txt-link-freetext" href="http://tools.ietf.org/html/rfc6331">http://tools.ietf.org/html/rfc6331</a>
</pre>
      </blockquote>
      <pre wrap="">
Every IETF can be depreciated using better implementation... :)
For now we need to support this for AD and maybe others.
It is much lighter than using SSL.
  
</pre>
      <blockquote type="cite">
        <pre wrap="">I do think the right way is SSL (LDAPS) support. Most LDAP servers
(but Active Directory out of the box) support it.
Y.
</pre>
      </blockquote>
      <pre wrap="">
We need to support all approaches SIMPLE, SASL(MD5-Digest), LDAPS, StartTLS, and maybe keep SASL(GSSAPI).

I already wrote a sample to use all, I will share this soon with a quick design of what needed to be implemented in this regard.

Alon.
 </pre>
    </blockquote>
    <br>
    Doesn't oVirt already support SIMPLE over SSL (that is LDAPS and
    StartTLS) ?<br>
    <br>
    <blockquote
      cite="mid:1784521991.4294776.1355177461752.JavaMail.root@redhat.com"
      type="cite">
      <pre wrap="">
</pre>
      <blockquote type="cite">
        <pre wrap="">
Hi,

Ovirt presently supports only GSSAPI and SIMPLE authentication
against an LDAP server. The latter is far to weak to be used in a
production environment. The first is only offered as an external
authentication mechanism in many LDAP servers.

I suggest adding DIGEST-MD5 support to oVirt which is a secured way
of authenticating to an LDAP server and which is a required
authentication mechanism in LDAPv3 specification. (see
<a class="moz-txt-link-freetext" href="http://www.ietf.org/rfc/rfc2829.txt">http://www.ietf.org/rfc/rfc2829.txt</a> paragraph 4.2).

This would make it possible to access every LDAP servers securely
without the need to implement the GSSAPI mechanism.

I also actively suggest to add support for the OpenLDAP Directory
server. It is a widely used LDAP server (and the one we use at our
University by the way...).

Are there developers wishing to implement such support (DIGEST-MD5
and OpenLDAP) ?

Or please tell me what I should do to start implementing it ?

Cheers,

Thierry



--
signature-TK Thierry Kauffmann
Chef du Service Informatique // Faculté des Sciences // Université de
Montpellier 2


        SIF - Service Informatique de la Faculté
                  des Sciences        UM2 -
                  Université de Montpellier 2        Service informatique de
                  la Faculté des Sciences (SIF)
Université de Montpellier 2
CC437 // Place Eugène Bataillon // 34095 Montpellier Cedex 5

Tél : 04 67 14 31 58
email : <a class="moz-txt-link-abbreviated" href="mailto:thierry.kauffmann@univ-montp2.fr">thierry.kauffmann@univ-montp2.fr</a>
web : <a class="moz-txt-link-freetext" href="http://sif.info-ufr.univ-montp2.fr/">http://sif.info-ufr.univ-montp2.fr/</a>
<a class="moz-txt-link-freetext" href="http://www.fdsweb.univ-montp2.fr/">http://www.fdsweb.univ-montp2.fr/</a>

_______________________________________________
Users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Users@ovirt.org">Users@ovirt.org</a>
<a class="moz-txt-link-freetext" href="http://lists.ovirt.org/mailman/listinfo/users">http://lists.ovirt.org/mailman/listinfo/users</a>


_______________________________________________
Users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Users@ovirt.org">Users@ovirt.org</a>
<a class="moz-txt-link-freetext" href="http://lists.ovirt.org/mailman/listinfo/users">http://lists.ovirt.org/mailman/listinfo/users</a>

</pre>
      </blockquote>
      <pre wrap="">
</pre>
    </blockquote>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      <meta content="text/html; charset=UTF-8" http-equiv="content-type">
      <title>signature-TK</title>
      <small><span style="color: rgb(15, 67, 106); font-weight: bold;">Thierry
          Kauffmann</span><br>
        <span style="color: rgb(15, 67, 106);">Chef du Service
          Informatique // </span><span style="color: rgb(15, 67, 106);">Faculté
          des Sciences // </span><span style="color: rgb(15, 67, 106);">Université
          de Montpellier 2</span></small><br>
      <br>
      <table style="text-align: left; height: 111px; width: 924px;"
        border="0" cellpadding="10" cellspacing="0">
        <tbody>
          <tr>
            <td style="vertical-align: middle; text-align: center;"><a
                href="http://sif.info-ufr.univ-montp2.fr/"><img
                  style="border: 0px solid ; width: 100px; height:
                  106px;" alt="SIF - Service Informatique de la Faculté
                  des Sciences"
                  src="cid:part1.02050202.00080803@univ-montp2.fr"></a></td>
            <td style="border-right: 2px solid rgb(15, 67, 106);
              vertical-align: middle; color: rgb(180, 202, 0);
              text-align: center; width: 211px;"><a
                href="http://www.univ-montp2.fr/"><img style="border:
                  0px solid ; width: 194px; height: 106px;" alt="UM2 -
                  Université de Montpellier 2"
                  src="cid:part3.06020304.01050706@univ-montp2.fr"></a></td>
            <td style="vertical-align: top; color: rgb(180, 202, 0);
              width: 547px; line-height: 13px;"><small><span
                  style="color: rgb(15, 67, 106); font-weight: bold;"></span><span
                  style="color: rgb(15, 67, 106);"></span>Service
                informatique de la Faculté des Sciences (SIF)<br>
                Université de Montpellier 2<br>
                <span style="color: rgb(71, 189, 205);">
                  CC437 // </span><span style="color: rgb(71, 189,
                  205);">Place Eugène Bataillon // </span><span
                  style="color: rgb(71, 189, 205);">34095 Montpellier
                  Cedex 5</span><br>
                <span style="color: rgb(71, 189, 205);"><br>
                  Tél : 04 67 14 31 58</span><br>
                <span style="color: rgb(71, 189, 205);">email : </span><a
                  style="color: rgb(15, 67, 106);"
                  href="mailto:thierry.kauffmann@univ-montp2.fr">thierry.kauffmann@univ-montp2.fr</a><br>
                <span style="color: rgb(71, 189, 205);">web : </span><a
                  style="color: rgb(15, 67, 106);"
                  href="http://sif.info-ufr.univ-montp2.fr/">http://sif.info-ufr.univ-montp2.fr/</a> 
                <a style="color: rgb(15, 67, 106);"
                  href="http://www.fdsweb.univ-montp2.fr/">http://www.fdsweb.univ-montp2.fr/</a></small>
            </td>
          </tr>
        </tbody>
      </table>
      <br>
    </div>
  </body>
</html>