Вход:  Пароль:  
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Эта страница была перенесена на altlinux.org. Текст на freesource.info заморожен.

OpenLDAP и TLS/SSL


Оглавление документа


Ниже описан способ понятия TLS/SSL для OpenLDAP, без проверки сертификата сервера клиентам (мне важна только защита от сниффиров, правельные сертификаты описаны здесь: Настройка OpenLDAP и его клиентов).

Генерация сертификата


Для простой генерации сертификата можно использовать пакет cert-sh-functions. Готовой утилиты, для данного действа, в данном пакете нет, но содержащийся там шелфункцией ssl_generate пользоваться достаточно удобно:



Несмотря на ругань, данная операция сгенерирует следующие файлы:



Полученный таким образом сертификат ldap.cert будет самоподписанным, а его CN=`hostname`.

Настройка slapd


  1. Сертификат (ldap.cert) и ключ (ldap.key) необходимо скопировать в /etc/openldap/ssl/. Именно скопировать: в дистрибутивах ALT slapd запускаетя в chroot, и на фактическое место файлы переносится с помощью update_chrooted (если сделать симлинки, то в chroot`е они могут стать битыми).
  2. В /etc/openldap/slapd.conf добавить следующие:

Настройка клиентов


Для большинства клиентов режим проверки сертификатов можно указать через файл /etc/openldap/ldap.conf (часто это единственное место, если файл отсутствует — его нужно создать). Для своей задачи, я использую такой:


NSS/PAM


Редкий случай, когда cat /etc/openldap/ldap.conf не нужен: режим проверки серверного сертификата настраивается непосредственно в ##/etc/{nss,pam}_ldap.conf:


Dovecot


В /etc/dovecot/dovecot-ldap.conf (см. Open LDAP и Dovecot) можно только включить TLS:



Остальное — через /etc/openldap/ldap.conf.

OpenLDAP (репликация через syncprov/syncrepl)


В файле конфигурации БД (у меня /etc/openldap/slapd-hdb-db01.conf):



Остальное — через /etc/openldap/ldap.conf.

Ссылки



Страницы, ссылающиеся на данную: ALTLinux/Dokumentacija/OpenLDAP/Services/Dovecot


 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]