OpenLDAP и SSL

Для работы по SSL/TLS требуется наличие на сервере необходимых сертификатов и соответствующей настройки сервера и клиента.

Для сервера: необходимо создать пару сертификат/ключ, подписать сертификат корневым сертификатом, и указать в настройках slapd местоположение сертификата сервера, ключа сервера и корневого сертификата.

При установке сервера из пакета генерируется его самоподписанный сертификат в /var/lib/ssl/cert/ldap.pem . Так как клиенты не имеют сертификата сервера (см. механизм SSL в заметке Создание сертификатов OpenSSL), то в /etc/openldap/ldap.conf клиента должно быть указано игнорирование ошибок проверки подписей сертификатов:

TLS_REQCERT     allow

Если есть желание сделать полную схему авторизации, то:

• на сервере надо создавать все ключи (см. Создание сертификатов OpenSSL)
• сертификат сертифицирующей организации ca.cert должен быть переписан на клиент
• конфигурация в /etc/openldap/ldap.conf

TLS_REQCERT     demand
TLS_CACERT      /etc/openldap/ca.cert

• обращаться к серверу надо по его FQDN, прописанном в сертификате.

Параметры TLS_* на клиентах указываются как в /etc/openldap/ldap.conf, так и в /etc/ldap.conf

Значение по-умолчанию параметра TLS_REQCERT поменялось в OpenLDAP 2.1 с allow на demand, что привело к проблемам соединения с серверами LDAP (см. треды в Sisyphus).

Дата создания: 2006-05-24 13:09:03 (Фетисов Н. А. (naf))
Последнее изменение: 2006-05-26 07:56:29 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 2  Все версии