URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1187
[ Назад ]

Исходное сообщение
"CA с базой аккаунтов в Oracle или по LDAP"
Отправлено mdenisov , 16-Янв-14 20:04

Добрый день.
Встал вопрос раздачи сертификатов для Anyconnect'а. Есть база аккаунтов в оракловой таблице, туда же смотрит LDAP. Хочется найти какой-нибудь CA, желательно юникосвый, который мог бы к этой базе аккаунтов привязываться, желательно с поддержкой SCEP.
Я предполагаю что это должно работать как-то так. Клиент подключается к ASA, при наличии валидного сертификата, авторизуется. Если сертификата нет или кончился - Anyconnect просит логин и пароль, и если авторизация прошла (по таблице или по LDAP), выдает новый сертификат. Хотелось бы чтобы время жизни сертификата могло варьироваться.
Кто знает какой софт умеет такое делать? Возможно, я неверно понимаю архитектуру, если так - подскажите как делать правильно.

Содержание

CA с базой аккаунтов в Oracle или по LDAP,путин, 00:46 , 17-Янв-14
- CA с базой аккаунтов в Oracle или по LDAP,mdenisov, 10:32 , 17-Янв-14
  - CA с базой аккаунтов в Oracle или по LDAP,pavel_simple, 10:43 , 17-Янв-14
    - CA с базой аккаунтов в Oracle или по LDAP,mdenisov, 10:49 , 17-Янв-14
CA с базой аккаунтов в Oracle или по LDAP,pavel_simple, 09:54 , 17-Янв-14

Сообщения в этом обсуждении

"CA с базой аккаунтов в Oracle или по LDAP"
Отправлено путин , 17-Янв-14 00:46

> Добрый день.
> Встал вопрос раздачи сертификатов для Anyconnect'а. Есть база аккаунтов в оракловой таблице,
> туда же смотрит LDAP.
лдап в оракл - это как питание ноута от усб самого ноута

"CA с базой аккаунтов в Oracle или по LDAP"
Отправлено mdenisov , 17-Янв-14 10:32

> лдап в оракл - это как питание ноута от усб самого ноута
А что тут военного? Просто в оракле полная база аккаунтов, изначально использовалась только для внутреннего приложения, потом это переросло в основной центр авторизации, сейчас туда смотрят radius и ldap.

"CA с базой аккаунтов в Oracle или по LDAP"
Отправлено pavel_simple , 17-Янв-14 10:43

>> лдап в оракл - это как питание ноута от усб самого ноута
> А что тут военного? Просто в оракле полная база аккаунтов, изначально использовалась
> только для внутреннего приложения, потом это переросло в основной центр авторизации,
> сейчас туда смотрят radius и ldap.
а почему вы ездите за продуктами в магазин на белаз'е

"CA с базой аккаунтов в Oracle или по LDAP"
Отправлено mdenisov , 17-Янв-14 10:49

> а почему вы ездите за продуктами в магазин на белаз'е
Так подскажите как правильно. Исторически так сложилось что полная база аккаунтов есть в оракловой таблице. Там она поддерживается в актуальном состоянии и куда-то ее переносить и синхронизировать выйдет слишком геморно. К тому же я не вижу куда это можно перенести кроме АДа, но его у нас никто толком не умеет готовить.

"CA с базой аккаунтов в Oracle или по LDAP"
Отправлено pavel_simple , 17-Янв-14 09:54

>[оверквотинг удален]
> Встал вопрос раздачи сертификатов для Anyconnect'а. Есть база аккаунтов в оракловой таблице,
> туда же смотрит LDAP. Хочется найти какой-нибудь CA, желательно юникосвый, который
> мог бы к этой базе аккаунтов привязываться, желательно с поддержкой SCEP.
> Я предполагаю что это должно работать как-то так. Клиент подключается к ASA,
> при наличии валидного сертификата, авторизуется. Если сертификата нет или кончился -
> Anyconnect просит логин и пароль, и если авторизация прошла (по таблице
> или по LDAP), выдает новый сертификат. Хотелось бы чтобы время жизни
> сертификата могло варьироваться.
> Кто знает какой софт умеет такое делать? Возможно, я неверно понимаю архитектуру,
> если так - подскажите как делать правильно.
http://www.ejbca.org/ + freeradius