Outils pour utilisateurs

Outils du site


brouillon_mds

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
brouillon_mds [2009/04/30 23:06] thierrybrouillon_mds [2009/05/04 21:53] (Version actuelle) thierry
Ligne 334: Ligne 334:
 ===== SSL ===== ===== SSL =====
 Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard
 +
 +
  
  
 ==== creer CA ==== ==== creer CA ====
-Source: http://www.free-4ever.info/index.php/Openssl:Creation_du_CA+Source: 
 +  *http://mathiaz.com/index.php?n=AdministrationLinux.Ldap 
 +  *http://www.free-4ever.info/index.php/Openssl:Creation_du_CA
  
   # dpkg -S CA.pl   # dpkg -S CA.pl
Ligne 344: Ligne 348:
   openssl: /usr/lib/ssl/misc/CA.pl   openssl: /usr/lib/ssl/misc/CA.pl
  
-  # cd /root +Ce script "CA.pl" va permettre de creer un certificat auto-signé et fier de l'être. 
-  # mkdir certs +   
-  # cd certs +  # mkdir /etc/ldap/ssl 
-  # cp /usr/lib/ssl/misc/CA.pl .+  # cd /etc/ldap/ssl 
 +  # /usr/lib/ssl/misc/CA.pl -newca 
 + 
 +| :!: la pass-phrase est obligatoire ! donc, bien la choisir pour s'en souvenir ! |
  
-  # ./CA.pl -newca 
-  CA certificate filename (or enter to create) 
-  <enter> 
-  ... 
-  Enter PEM pass phrase: <mot_de_passe_secret> 
-  ... 
-  <repondre comme pour un CA...> 
-  ... etc... 
-  Enter pass phrase for ./demoCA/private/cakey.pem: <mot_de_passe_secret> 
-  ... 
-Augmenter la durée de validité : 
-  # openssl x509 -in demoCA/cacert.pem -days 3650 -out demoCA/cacert.pem -signkey demoCA/private/cakey.pem 
  
 "Notre CA est maintenant prêt à être utilisé pour générer des certificats ! " "Notre CA est maintenant prêt à être utilisé pour générer des certificats ! "
  
 +Il est dans **''./demoCA/cacert.pem''**
  
 +Pour la suite, on le copiera dans **''/etc/ldap/ssl''** :
 +  # cp ./demoCA/cacert.pem .
  
-==== creation certificat ==== +( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence )
-Source: http://www.free-4ever.info/index.php/Openssl:Creation_du_certificat+
  
-  # ./CA.pl -newreq+==== server ==== 
 +On va générer un certificat pour le serveur: (toujours dans **''/etc/ldap/ssl''** ) 
 +  openssl genrsa -out server.key 1024 
 +  # openssl req -new -key server.key -out server.req 
 +  # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650
  
-"newreq.pem" et "newkey.pem" sont apparu.+Le nom **''server''** importe peu...
  
-Signer+:!: Par contre, le "Common Name" doit être le nom de l'hôte, c'est à dire:  
-  # ./CA.pl -sign+  # hostname -f 
 +  mds.thierry-jaouen.local
  
-Decryptage de clé: +Sinon, "slapd" va mystérieusement refuser toutes connexions TLS/SSL !
-  # openssl rsa -in newkey.pem -out newkey_decrypt.pem+
  
-==== serveur ====+==== client ==== 
 +Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut. 
 + 
 + 
 + 
 + 
 + 
 +==== configuration simple ==== 
 +=== serveur ===
  
 Dans **''/etc/ldap/slapd.conf''**, mettre: Dans **''/etc/ldap/slapd.conf''**, mettre:
-  TLSCACertificateFile /etc/ldap/k/ca.crt +  TLSCACertificateFile /etc/ldap/ssl/cacert.pem 
-  TLSCertificateFile /etc/ldap/k/server.crt +  #TLSCertificateFile /etc/ldap/ssl/cacert.pem 
-  TLSCertificateKeyFile /etc/ldap/k/server.key+  TLSCertificateFile /etc/ldap/ssl/server.pem 
 +  TLSCertificateKeyFile /etc/ldap/ssl/server.key 
 + 
 +Confusion étrange entre "TLSCACertificatFile" et "TLSCertificateFile" .... 
 + 
 +=== client ===
  
-==== client ==== 
 Dans **''/etc/ldap/ldap.conf''**, mettre: Dans **''/etc/ldap/ldap.conf''**, mettre:
-  # TJ -------- +  TLS_CACERT /etc/ldap/ssl/cacert.pem 
-  TLS_CACERT /etc/ldap/ca.crt+ 
 +=== test === 
 +A partir du client: 
 +  $ ldapsearch -s sub --H ldaps://mds.thierry-jaouen.local -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
 +Ok
  
-==== test ====+Alors que: 
 +  $ ldapsearch -s sub -x -H ldap://mds.thierry-jaouen.local:636 -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
 +  ldap_start_tls: Can't contact LDAP server (-1) 
 +Etrange, ca me semblait équivalent... 
 +Le port "636" etant le port "ldaps" et "-ZZ", forcant le TLS/SSL...
  
-  $ ldapsearch -s sub -x -H ldaps://localhost:636 -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
-  Ok 
  
-  $ ldapsearch -s sub -x -H ldap://localhost -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
-  Ok 
  
  
  
 +==== configuration complete ====
  
 +Serveur et Client avec des certificats... on peut rever...
  
brouillon_mds.1241132817.txt.gz · Dernière modification : 2009/04/30 23:06 de thierry