tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
brouillon_mds

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
brouillon_mds [2009/05/04 21:26] thierrybrouillon_mds [2009/05/04 21:53] (Version actuelle) thierry
Ligne 334: Ligne 334:
 ===== SSL ===== ===== SSL =====
 Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard Lien: http://www.free-4ever.info/index.php/Openldap:configuration_slapd_standard
 +
  
  
Ligne 360: Ligne 361:
 Il est dans **''./demoCA/cacert.pem''** Il est dans **''./demoCA/cacert.pem''**
  
 +Pour la suite, on le copiera dans **''/etc/ldap/ssl''** :
 +  # cp ./demoCA/cacert.pem .
 +
 +( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence )
  
 ==== server ==== ==== server ====
Ligne 375: Ligne 380:
 Sinon, "slapd" va mystérieusement refuser toutes connexions TLS/SSL ! Sinon, "slapd" va mystérieusement refuser toutes connexions TLS/SSL !
  
-=== client ===+==== client ====
 Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut. Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement "server" par le nom qu'on veut.
  
-   
  
-==== creation certificat ==== 
-Source: http://www.free-4ever.info/index.php/Openssl:Creation_du_certificat 
  
-  # ./CA.pl -newreq 
  
-"newreq.pem" et "newkey.pem" sont apparu. 
  
-Signer: +==== configuration simple ==== 
-  # ./CA.pl -sign+=== serveur ===
  
-Decryptage de clé+Dans **''/etc/ldap/slapd.conf''**, mettre: 
-  # openssl rsa -in newkey.pem -out newkey_decrypt.pem+  TLSCACertificateFile /etc/ldap/ssl/cacert.pem 
 +  #TLSCertificateFile /etc/ldap/ssl/cacert.pem 
 +  TLSCertificateFile /etc/ldap/ssl/server.pem 
 +  TLSCertificateKeyFile /etc/ldap/ssl/server.key
  
-==== serveur ====+Confusion étrange entre "TLSCACertificatFile" et "TLSCertificateFile" ....
  
-Dans **''/etc/ldap/slapd.conf''**, mettre: +=== client ===
-  TLSCACertificateFile /etc/ldap/k/ca.crt +
-  TLSCertificateFile /etc/ldap/k/server.crt +
-  TLSCertificateKeyFile /etc/ldap/k/server.key+
  
-==== client ==== 
 Dans **''/etc/ldap/ldap.conf''**, mettre: Dans **''/etc/ldap/ldap.conf''**, mettre:
-  # TJ -------- +  TLS_CACERT /etc/ldap/ssl/cacert.pem
-  TLS_CACERT /etc/ldap/ca.crt+
  
 +=== test ===
 +A partir du client:
 +  $ ldapsearch -s sub -x -H ldaps://mds.thierry-jaouen.local -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn
 +Ok
  
-==== test ====+Alors que: 
 +  $ ldapsearch -s sub -x -H ldap://mds.thierry-jaouen.local:636 -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
 +  ldap_start_tls: Can't contact LDAP server (-1) 
 +Etrange, ca me semblait équivalent... 
 +Le port "636" etant le port "ldaps" et "-ZZ", forcant le TLS/SSL...
  
-  $ ldapsearch -s sub -x -H ldaps://localhost:636 -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
-  Ok 
  
-  $ ldapsearch -s sub -x -H ldap://localhost -ZZ -b 'dc=thierry-jaouen,dc=local' '(ou=*)' -LLL dn 
-  Ok 
  
  
  
-http://www.bind9.net/manual/openldap/2.3/tls.html+==== configuration complete ====
  
 +Serveur et Client avec des certificats... on peut rever...
  
brouillon_mds.1241472379.txt.gz · Dernière modification : 2009/05/04 21:26 de thierry