tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
brouillon_mds

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
brouillon_mds [2009/04/19 21:17] thierrybrouillon_mds [2009/05/04 21:53] (Version actuelle) thierry
Ligne 325: Ligne 325:
 | :!: Sorte de recherche "polonaise". operateur(a)(b) | | :!: Sorte de recherche "polonaise". operateur(a)(b) |
  
-===== TLS/SSL ou LDAPS =====+ 
 +====== TLS/SSL ou LDAPS ======
 Comment chiffrer les communications... je cherche encore. Comment chiffrer les communications... je cherche encore.
  
 Lien a voir: http://www.labo-linux.org/articles-fr/gestion-centralisee-des-comptes/le-serveur-ldap Lien a voir: http://www.labo-linux.org/articles-fr/gestion-centralisee-des-comptes/le-serveur-ldap
 +
 +
 +===== SSL =====
 +Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard
 +
 +
 +
 +
 +==== creer CA ====
 +Source:
 +  *http://mathiaz.com/index.php?n=AdministrationLinux.Ldap
 +  *http://www.free-4ever.info/index.php/Openssl:Creation_du_CA
 +
 +  # dpkg -S CA.pl
 +  openssl: /usr/share/man/man1/CA.pl.1ssl.gz
 +  openssl: /usr/share/doc/openssl/doc/apps/CA.pl.pod.gz
 +  openssl: /usr/lib/ssl/misc/CA.pl
 +
 +Ce script "CA.pl" va permettre de creer un certificat auto-signé et fier de l'être.
 +  
 +  # mkdir /etc/ldap/ssl
 +  # cd /etc/ldap/ssl
 +  # /usr/lib/ssl/misc/CA.pl -newca
 +
 +| :!: la pass-phrase est obligatoire ! donc, bien la choisir pour s'en souvenir ! |
 +
 +
 +"Notre CA est maintenant prêt à être utilisé pour générer des certificats ! "
 +
 +Il est dans **''./demoCA/cacert.pem''**
 +
 +Pour la suite, on le copiera dans **''/etc/ldap/ssl''** :
 +  # cp ./demoCA/cacert.pem .
 +
 +( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence )
 +
 +==== server ====
 +On va générer un certificat pour le serveur: (toujours dans **''/etc/ldap/ssl''** )
 +  # openssl genrsa -out server.key 1024
 +  # openssl req -new -key server.key -out server.req
 +  # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650
 +
 +Le nom **''server''** importe peu...
 +
 +:!: Par contre, le "Common Name" doit être le nom de l'hôte, c'est à dire: 
 +  # hostname -f
 +  mds.thierry-jaouen.local
 +
 +Sinon, "slapd" va mystérieusement refuser toutes connexions TLS/SSL !
 +
 +==== client ====
 +Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut.
 +
 +
 +
 +
 +
 +==== configuration simple ====
 +=== serveur ===
 +
 +Dans **''/etc/ldap/slapd.conf''**, mettre:
 +  TLSCACertificateFile /etc/ldap/ssl/cacert.pem
 +  #TLSCertificateFile /etc/ldap/ssl/cacert.pem
 +  TLSCertificateFile /etc/ldap/ssl/server.pem
 +  TLSCertificateKeyFile /etc/ldap/ssl/server.key
 +
 +Confusion étrange entre "TLSCACertificatFile" et "TLSCertificateFile" ....
 +
 +=== client ===
 +
 +Dans **''/etc/ldap/ldap.conf''**, mettre:
 +  TLS_CACERT /etc/ldap/ssl/cacert.pem
 +
 +=== test ===
 +A partir du client:
 +  $ ldapsearch -s sub -x -H ldaps://mds.thierry-jaouen.local -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn
 +Ok
 +
 +Alors que:
 +  $ ldapsearch -s sub -x -H ldap://mds.thierry-jaouen.local:636 -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn
 +  ldap_start_tls: Can't contact LDAP server (-1)
 +Etrange, ca me semblait équivalent...
 +Le port "636" etant le port "ldaps" et "-ZZ", forcant le TLS/SSL...
 +
 +
 +
 +
 +
 +==== configuration complete ====
 +
 +Serveur et Client avec des certificats... on peut rever...
  
brouillon_mds.1240175856.txt.gz · Dernière modification : 2009/04/19 21:17 de thierry