brouillon_mds
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
brouillon_mds [2009/04/19 16:11] – thierry | brouillon_mds [2009/05/04 21:53] (Version actuelle) – thierry | ||
---|---|---|---|
Ligne 227: | Ligne 227: | ||
modifiersName: | modifiersName: | ||
modifyTimestamp: | modifyTimestamp: | ||
+ | |||
+ | |||
+ | |||
+ | |||
==== ajoutons des uid ==== | ==== ajoutons des uid ==== | ||
Ligne 255: | Ligne 259: | ||
adding new entry " | adding new entry " | ||
... etc .... | ... etc .... | ||
+ | |||
+ | On peut faire une recherche dedans, maintenant: | ||
+ | $ ldapsearch -x -H ldap:// | ||
+ | # extended LDIF | ||
+ | # | ||
+ | # LDAPv3 | ||
+ | # base < | ||
+ | # filter: (objectclass=*) | ||
+ | # requesting: ALL | ||
+ | # | ||
+ | | ||
+ | # Perso, thierry-jaouen.local | ||
+ | dn: ou=Perso, | ||
+ | ou: Perso | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | | ||
+ | # pascal, Perso, thierry-jaouen.local | ||
+ | dn: uid=pascal, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | uid: pascal | ||
+ | uidNumber: 10001 | ||
+ | cn: pascal | ||
+ | loginShell: /bin/bash | ||
+ | gidNumber: 10513 | ||
+ | description: | ||
+ | homeDirectory: | ||
+ | sn: pascal | ||
+ | Etc... | ||
+ | |||
+ | | :!: A noter: le mot de passe n'est pas retourné ! (sans doute en relation avec les schémas) | | ||
+ | | :!: **'' | ||
+ | |||
+ | Par contre, une recherche en tant qu' | ||
+ | $ ldapsearch -x -H ldap:// | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== recherches ==== | ||
+ | La liste des " | ||
+ | $ ldapsearch -s sub -x -H ldap:// | ||
+ | dn: ou=Perso, | ||
+ | dn: ou=Boulot, | ||
+ | dn: ou=Boursorama, | ||
+ | dn: ou=Google, | ||
+ | |||
+ | | " | ||
+ | | " | ||
+ | |||
+ | $ ldapsearch -s sub -x -H ldap:// | ||
+ | dn: uid=pascal, | ||
+ | dn: uid=chiroki, | ||
+ | dn: uid=fab4, | ||
+ | |||
+ | Ou... | ||
+ | $ ldapsearch -s sub -x -H ldap:// | ||
+ | dn: uid=pascal, | ||
+ | dn: uid=fab4, | ||
+ | |||
+ | | :!: Sorte de recherche " | ||
+ | |||
+ | |||
+ | ====== TLS/SSL ou LDAPS ====== | ||
+ | Comment chiffrer les communications... je cherche encore. | ||
+ | |||
+ | Lien a voir: http:// | ||
+ | |||
+ | |||
+ | ===== SSL ===== | ||
+ | Lien: http:// | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== creer CA ==== | ||
+ | Source: | ||
+ | *http:// | ||
+ | *http:// | ||
+ | |||
+ | # dpkg -S CA.pl | ||
+ | openssl: / | ||
+ | openssl: / | ||
+ | openssl: / | ||
+ | |||
+ | Ce script " | ||
+ | | ||
+ | # mkdir / | ||
+ | # cd / | ||
+ | # / | ||
+ | |||
+ | | :!: la pass-phrase est obligatoire ! donc, bien la choisir pour s'en souvenir ! | | ||
+ | |||
+ | |||
+ | "Notre CA est maintenant prêt à être utilisé pour générer des certificats ! " | ||
+ | |||
+ | Il est dans **'' | ||
+ | |||
+ | Pour la suite, on le copiera dans **''/ | ||
+ | # cp ./ | ||
+ | |||
+ | ( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence ) | ||
+ | |||
+ | ==== server ==== | ||
+ | On va générer un certificat pour le serveur: (toujours dans **''/ | ||
+ | # openssl genrsa -out server.key 1024 | ||
+ | # openssl req -new -key server.key -out server.req | ||
+ | # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650 | ||
+ | |||
+ | Le nom **'' | ||
+ | |||
+ | :!: Par contre, le " | ||
+ | # hostname -f | ||
+ | mds.thierry-jaouen.local | ||
+ | |||
+ | Sinon, " | ||
+ | |||
+ | ==== client ==== | ||
+ | Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement " | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== configuration simple ==== | ||
+ | === serveur === | ||
+ | |||
+ | Dans **''/ | ||
+ | TLSCACertificateFile / | ||
+ | # | ||
+ | TLSCertificateFile / | ||
+ | TLSCertificateKeyFile / | ||
+ | |||
+ | Confusion étrange entre " | ||
+ | |||
+ | === client === | ||
+ | |||
+ | Dans **''/ | ||
+ | TLS_CACERT / | ||
+ | |||
+ | === test === | ||
+ | A partir du client: | ||
+ | $ ldapsearch -s sub -x -H ldaps:// | ||
+ | Ok | ||
+ | |||
+ | Alors que: | ||
+ | $ ldapsearch -s sub -x -H ldap:// | ||
+ | ldap_start_tls: | ||
+ | Etrange, ca me semblait équivalent... | ||
+ | Le port " | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== configuration complete ==== | ||
+ | |||
+ | Serveur et Client avec des certificats... on peut rever... | ||
brouillon_mds.txt · Dernière modification : 2009/05/04 21:53 de thierry