tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
brouillon_mds

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
brouillon_mds [2009/04/29 20:25] thierrybrouillon_mds [2009/05/04 21:53] (Version actuelle) thierry
Ligne 330: Ligne 330:
  
 Lien a voir: http://www.labo-linux.org/articles-fr/gestion-centralisee-des-comptes/le-serveur-ldap Lien a voir: http://www.labo-linux.org/articles-fr/gestion-centralisee-des-comptes/le-serveur-ldap
 +
  
 ===== SSL ===== ===== SSL =====
 Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard
 +
 +
 +
 +
 +==== creer CA ====
 +Source:
 +  *http://mathiaz.com/index.php?n=AdministrationLinux.Ldap
 +  *http://www.free-4ever.info/index.php/Openssl:Creation_du_CA
  
   # dpkg -S CA.pl   # dpkg -S CA.pl
Ligne 339: Ligne 348:
   openssl: /usr/lib/ssl/misc/CA.pl   openssl: /usr/lib/ssl/misc/CA.pl
  
-  # cd /root +Ce script "CA.pl" va permettre de creer un certificat auto-signé et fier de l'être. 
-  # mkdir certs +   
-  # cd certs +  # mkdir /etc/ldap/ssl 
-  # cp /usr/lib/ssl/misc/CA.pl .+  # cd /etc/ldap/ssl 
 +  # /usr/lib/ssl/misc/CA.pl -newca 
 + 
 +| :!: la pass-phrase est obligatoire ! donc, bien la choisir pour s'en souvenir ! | 
 + 
 + 
 +"Notre CA est maintenant prêt à être utilisé pour générer des certificats ! " 
 + 
 +Il est dans **''./demoCA/cacert.pem''** 
 + 
 +Pour la suite, on le copiera dans **''/etc/ldap/ssl''** : 
 +  # cp ./demoCA/cacert.pem . 
 + 
 +( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence ) 
 + 
 +==== server ==== 
 +On va générer un certificat pour le serveur: (toujours dans **''/etc/ldap/ssl''** ) 
 +  # openssl genrsa -out server.key 1024 
 +  # openssl req -new -key server.key -out server.req 
 +  # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650 
 + 
 +Le nom **''server''** importe peu... 
 + 
 +:!: Par contre, le "Common Name" doit être le nom de l'hôte, c'est à dire:  
 +  # hostname -f 
 +  mds.thierry-jaouen.local 
 + 
 +Sinon, "slapd" va mystérieusement refuser toutes connexions TLS/SSL ! 
 + 
 +==== client ==== 
 +Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut. 
 + 
 + 
 + 
 + 
 + 
 +==== configuration simple ==== 
 +=== serveur === 
 + 
 +Dans **''/etc/ldap/slapd.conf''**, mettre: 
 +  TLSCACertificateFile /etc/ldap/ssl/cacert.pem 
 +  #TLSCertificateFile /etc/ldap/ssl/cacert.pem 
 +  TLSCertificateFile /etc/ldap/ssl/server.pem 
 +  TLSCertificateKeyFile /etc/ldap/ssl/server.key 
 + 
 +Confusion étrange entre "TLSCACertificatFile" et "TLSCertificateFile" .... 
 + 
 +=== client === 
 + 
 +Dans **''/etc/ldap/ldap.conf''**, mettre: 
 +  TLS_CACERT /etc/ldap/ssl/cacert.pem 
 + 
 +=== test === 
 +A partir du client: 
 +  $ ldapsearch -s sub -x -H ldaps://mds.thierry-jaouen.local -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
 +Ok 
 + 
 +Alors que: 
 +  $ ldapsearch -s sub -x -H ldap://mds.thierry-jaouen.local:636 -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
 +  ldap_start_tls: Can't contact LDAP server (-1) 
 +Etrange, ca me semblait équivalent... 
 +Le port "636" etant le port "ldaps" et "-ZZ", forcant le TLS/SSL... 
 + 
 + 
 + 
 + 
 + 
 +==== configuration complete ==== 
 + 
 +Serveur et Client avec des certificats... on peut rever...
  
brouillon_mds.1241036740.txt.gz · Dernière modification : 2009/04/29 20:25 de thierry