tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
brouillon_mds

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
brouillon_mds [2009/05/04 21:21] thierrybrouillon_mds [2009/05/04 21:53] (Version actuelle) thierry
Ligne 334: Ligne 334:
 ===== SSL ===== ===== SSL =====
 Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard
 +
  
  
Ligne 359: Ligne 360:
  
 Il est dans **''./demoCA/cacert.pem''** Il est dans **''./demoCA/cacert.pem''**
 +
 +Pour la suite, on le copiera dans **''/etc/ldap/ssl''** :
 +  # cp ./demoCA/cacert.pem .
 +
 +( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence )
  
 ==== server ==== ==== server ====
-On va générer une cl+On va générer un certificat pour le serveur: (toujours dans **''/etc/ldap/ssl''** ) 
 +  # openssl genrsa -out server.key 1024 
 +  # openssl req -new -key server.key -out server.req 
 +  # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650
  
-==== creation certificat ==== +Le nom **''server''** importe peu...
-Source: http://www.free-4ever.info/index.php/Openssl:Creation_du_certificat+
  
-  # ./CA.pl -newreq+:!: Par contre, le "Common Name" doit être le nom de l'hôte, c'est à dire:  
 +  hostname -f 
 +  mds.thierry-jaouen.local
  
-"newreq.pemet "newkey.pem" sont apparu.+Sinon, "slapdva mystérieusement refuser toutes connexions TLS/SSL !
  
-Signer: +==== client ==== 
-  # ./CA.pl -sign+Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut.
  
-Decryptage de clé: 
-  # openssl rsa -in newkey.pem -out newkey_decrypt.pem 
  
-==== serveur ====+ 
 + 
 + 
 +==== configuration simple ==== 
 +=== serveur ===
  
 Dans **''/etc/ldap/slapd.conf''**, mettre: Dans **''/etc/ldap/slapd.conf''**, mettre:
-  TLSCACertificateFile /etc/ldap/k/ca.crt +  TLSCACertificateFile /etc/ldap/ssl/cacert.pem 
-  TLSCertificateFile /etc/ldap/k/server.crt +  #TLSCertificateFile /etc/ldap/ssl/cacert.pem 
-  TLSCertificateKeyFile /etc/ldap/k/server.key+  TLSCertificateFile /etc/ldap/ssl/server.pem 
 +  TLSCertificateKeyFile /etc/ldap/ssl/server.key 
 + 
 +Confusion étrange entre "TLSCACertificatFile" et "TLSCertificateFile" .... 
 + 
 +=== client ===
  
-==== client ==== 
 Dans **''/etc/ldap/ldap.conf''**, mettre: Dans **''/etc/ldap/ldap.conf''**, mettre:
-  # TJ -------- +  TLS_CACERT /etc/ldap/ssl/cacert.pem
-  TLS_CACERT /etc/ldap/ca.crt+
  
 +=== test ===
 +A partir du client:
 +  $ ldapsearch -s sub -x -H ldaps://mds.thierry-jaouen.local -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn
 +Ok
  
-==== test ====+Alors que: 
 +  $ ldapsearch -s sub -x -H ldap://mds.thierry-jaouen.local:636 -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
 +  ldap_start_tls: Can't contact LDAP server (-1) 
 +Etrange, ca me semblait équivalent... 
 +Le port "636" etant le port "ldaps" et "-ZZ", forcant le TLS/SSL...
  
-  $ ldapsearch -s sub -x -H ldaps://localhost:636 -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
-  Ok 
  
-  $ ldapsearch -s sub -x -H ldap://localhost -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
-  Ok 
  
  
  
-http://www.bind9.net/manual/openldap/2.3/tls.html+==== configuration complete ====
  
 +Serveur et Client avec des certificats... on peut rever...
  
brouillon_mds.1241472091.txt.gz · Dernière modification : 2009/05/04 21:21 de thierry