OSS Group OSS Group
>  Карта
>  Поиск
>  Контакты
>  OSS Group  ::  Admin  ::  OpenLDAP и SSL
  
РегистрацияЗабыли пароль?

↓  Быстрый поиск по Wiki


Режим поиска:   И   ИЛИ

↓  Доступные Wiki

↓  Навигация по сайту

[]

↓  Последняя новость

Загрузка...

↓  На эту страницу ссылаются:

Get Firefox!
[~]

OpenLDAP и SSL

Для работы по SSL/TLS требуется наличие на сервере необходимых сертификатов и соответствующей настройки сервера и клиента.

Для сервера: необходимо создать пару сертификат/ключ, подписать сертификат корневым сертификатом, и указать в настройках slapd местоположение сертификата сервера, ключа сервера и корневого сертификата.

При установке сервера из пакета генерируется его самоподписанный сертификат в /var/lib/ssl/cert/ldap.pem . Так как клиенты не имеют сертификата сервера (см. механизм SSL в заметке Создание сертификатов OpenSSL), то в /etc/openldap/ldap.conf клиента должно быть указано игнорирование ошибок проверки подписей сертификатов:

TLS_REQCERT     allow

Если есть желание сделать полную схему авторизации, то:

  • на сервере надо создавать все ключи (см. Создание сертификатов OpenSSL)
  • сертификат сертифицирующей организации ca.cert должен быть переписан на клиент
  • конфигурация в /etc/openldap/ldap.conf
TLS_REQCERT     demand
TLS_CACERT      /etc/openldap/ca.cert
  • обращаться к серверу надо по его FQDN, прописанном в сертификате.

Параметры TLS_* на клиентах указываются как в /etc/openldap/ldap.conf, так и в /etc/ldap.conf

Значение по-умолчанию параметра TLS_REQCERT поменялось в OpenLDAP 2.1 с allow на demand, что привело к проблемам соединения с серверами LDAP (см. треды в Sisyphus).


Дата создания: 2006-05-24 13:09:03 (Фетисов Н. А. (naf))
Последнее изменение: 2006-05-26 07:56:29 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 2  Все версии


  Не показывать комментарии



Wiki::Admin   Оглавление  Карта раздела  Изменения за сутки  Изменения за неделю  Изменения за месяц



Valid XHTML 1.0 Transitional  Valid CSS!  [Valid RSS]