OSS Group :: Admin :: OpenLDAP и SSL |
Быстрый поиск по WikiНавигация по сайтуНа эту страницу ссылаются: |
OpenLDAP и SSLДля работы по SSL/TLS требуется наличие на сервере необходимых сертификатов и соответствующей настройки сервера и клиента. Для сервера: необходимо создать пару сертификат/ключ, подписать сертификат корневым сертификатом, и указать в настройках slapd местоположение сертификата сервера, ключа сервера и корневого сертификата. При установке сервера из пакета генерируется его самоподписанный сертификат в /var/lib/ssl/cert/ldap.pem . Так как клиенты не имеют сертификата сервера (см. механизм SSL в заметке Создание сертификатов OpenSSL), то в /etc/openldap/ldap.conf клиента должно быть указано игнорирование ошибок проверки подписей сертификатов: TLS_REQCERT allow Если есть желание сделать полную схему авторизации, то:
TLS_REQCERT demand TLS_CACERT /etc/openldap/ca.cert
Параметры TLS_* на клиентах указываются как в /etc/openldap/ldap.conf, так и в /etc/ldap.conf Значение по-умолчанию параметра TLS_REQCERT поменялось в OpenLDAP 2.1 с allow на demand, что привело к проблемам соединения с серверами LDAP (см. треды в Sisyphus).
Дата создания: 2006-05-24 13:09:03 (Фетисов Н. А. (naf)) Wiki::Admin Оглавление Карта раздела Изменения за сутки Изменения за неделю Изменения за месяц |
© 2006-2024 OSS Group. All rights reserved. | Техническая поддержка: Открытые Информационные Технологии и Системы
|