Différences

Ci-dessous, les différences entre deux révisions de la page.

--- brouillon_mds [2009/04/29 20:51] – thierry
+++ brouillon_mds [2009/05/04 21:53] (Version actuelle) – thierry
@@ Ligne 334: / Ligne 334: @@
 ===== SSL =====
 Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard
 ==== creer CA ====
-Source: http://www.free-4ever.info/index.php/Openssl:Creation_du_CA
+Source:
+  *http://mathiaz.com/index.php?n=AdministrationLinux.Ldap
+  *http://www.free-4ever.info/index.php/Openssl:Creation_du_CA
   # dpkg -S CA.pl
@@ Ligne 344: / Ligne 348: @@
   openssl: /usr/lib/ssl/misc/CA.pl
-  # cd /root
+Ce script "CA.pl" va permettre de creer un certificat auto-signé et fier de l'être.
-  # mkdir certs
-  # cd certs
+  # mkdir /etc/ldap/ssl
-  # cp /usr/lib/ssl/misc/CA.pl .
+  # cd /etc/ldap/ssl
+  # /usr/lib/ssl/misc/CA.pl -newca
+| :!: la pass-phrase est obligatoire ! donc, bien la choisir pour s'en souvenir ! |
-  # ./CA.pl -newca
-  CA certificate filename (or enter to create)
-  <enter>
-  ...
-  Enter PEM pass phrase: <mot_de_passe_secret>
-  ...
-  <repondre comme pour un CA...>
-  ... etc...
-  Enter pass phrase for ./demoCA/private/cakey.pem: <mot_de_passe_secret>
-  ...
-Augmenter la durée de validité :
-  # openssl x509 -in demoCA/cacert.pem -days 3650 -out demoCA/cacert.pem -signkey demoCA/private/cakey.pem
 "Notre CA est maintenant prêt à être utilisé pour générer des certificats ! "
+Il est dans **''./demoCA/cacert.pem''**
+Pour la suite, on le copiera dans **''/etc/ldap/ssl''** :
+  # cp ./demoCA/cacert.pem .
+( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence )
+==== server ====
+On va générer un certificat pour le serveur: (toujours dans **''/etc/ldap/ssl''** )
+  # openssl genrsa -out server.key 1024
+  # openssl req -new -key server.key -out server.req
+  # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650
+Le nom **''server''** importe peu...
+:!: Par contre, le "Common Name" doit être le nom de l'hôte, c'est à dire:
+  # hostname -f
+  mds.thierry-jaouen.local
+Sinon, "slapd" va mystérieusement refuser toutes connexions TLS/SSL !
+==== client ====
+Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut.
+==== configuration simple ====
+=== serveur ===
+Dans **''/etc/ldap/slapd.conf''**, mettre:
+  TLSCACertificateFile /etc/ldap/ssl/cacert.pem
+  #TLSCertificateFile /etc/ldap/ssl/cacert.pem
+  TLSCertificateFile /etc/ldap/ssl/server.pem
+  TLSCertificateKeyFile /etc/ldap/ssl/server.key
+Confusion étrange entre "TLSCACertificatFile" et "TLSCertificateFile" ....
+=== client ===
+Dans **''/etc/ldap/ldap.conf''**, mettre:
+  TLS_CACERT /etc/ldap/ssl/cacert.pem
+=== test ===
+A partir du client:
+  $ ldapsearch -s sub -x -H ldaps://mds.thierry-jaouen.local -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn
+Ok
+Alors que:
+  $ ldapsearch -s sub -x -H ldap://mds.thierry-jaouen.local:636 -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn
+  ldap_start_tls: Can't contact LDAP server (-1)
+Etrange, ca me semblait équivalent...
+Le port "636" etant le port "ldaps" et "-ZZ", forcant le TLS/SSL...
-==== creation certificat ====
-Source: http://www.free-4ever.info/index.php/Openssl:Creation_du_certificat
-  # ./CA.pl -newreq
-"newreq.pem" et "newkey.pem" sont apparu.
-Signer:
+==== configuration complete ====
-  # ./CA.pl -sign
-Decryptage de clé:
+Serveur et Client avec des certificats... on peut rever...
-  # openssl rsa -in newkey.pem -out newkey_decrypt.pem