BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: TLS и LDAP
СообщениеДобавлено: Вт 07 июн, 2005 6:12 pm 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
FreeBSD 5.3
OpenLDAP server 2.2.26
OpenSSL 0.9.7g
Squid 2.5.10_1
Настраиваю шлюз в инет,на нем прокси Squid,авторизация посредством LDAP с TLS.

Не получается включить TLS в LDAP.

slapd.conf :

include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/corba.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema

TLSCertificateFile /usr/local/etc/openldap/ssl/server.pem
TLSCertificateKeyFile /usr/local/etc/openldap/ssl/server.pem
TLSCACertificateFile /usr/lical/etc/openldap/ssl/server.pem

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

loglevel -1
#######################################################################
# BDB database definitions
#######################################################################

database ldbm
suffix "dc=helper,dc=ru"
rootdn "cn=admin,dc=helper,dc=ru"
rootpw secret
directory /var/db/openldap

index objectClass,uid,uidNumber,gidNumber eq
index cn,name,surName,givenName eq,subinitial

access to attr=userPassword
by self write
by anonymous auth
by dn="cn=admin,dc=helper,dc=ru" write
by * read access to *
by dn="cn=admin,dc=helper,dc=ru" write
by * read

ldap.conf :
BASE dc=helper, dc=ru
URI ldap://127.0.0.1 ldap://ldap.helper.ru
TLS_CACERT /usr/local/etc/openldap/ssl/server.pem

Вот это падает в debug.log :

Jun 7 16:25:37 bsd slapd[13795]: main: TLS init def ctx failed: -1
Jun 7 16:25:37 bsd slapd[13795]: slapd shutdown: freeing system resources.
Jun 7 16:25:37 bsd slapd[13795]: slapd stopped.
Jun 7 16:25:37 bsd slapd[13795]: connections_destroy: nothing to destroy.

Что посоветуете,наведите на путь истинный?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 07 июн, 2005 11:55 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3959
Откуда: Россия, Ростов-на-Дону
ключи и пр. сделал?
а какой смысл в шифрованом трафике в пределах localhost ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 июн, 2005 9:06 am 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
ключ сгенерил:
openssl -req -new -x509 -nodes -out server.pem -keyout server.pem -days 1825

юзеры будут авторизироваться из своего браузера squid_ldap_auth в LDAP,поэтому нужен TLS,дабы не поймали пароль снифером нужен шифрованный сетевой канал до шлюза в инет(только для автроизации)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 июн, 2005 12:11 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3959
Откуда: Россия, Ростов-на-Дону
в этом случаи шифрованого канала ты не получиш
для того что бы получить шифрованый канал используй https или ipsec


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 июн, 2005 5:41 pm 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
всетаки завел,помог человек с opennet.ru http://www.opennet.ru/openforum/vsluhfo ... /2118.html

но squid_ldap_auth через TLS не ходит,не полчилось (((

а каким макаром прикрутить к сквиду https ? (извиняюсь конечно-доку по сквиду пока не глядел на предмет вопроса)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 09 июн, 2005 12:37 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3959
Откуда: Россия, Ростов-на-Дону
извени, опечатался, спешил
ssl или ipsec тебе только подойдет
рекомендую ipsec


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 21 июн, 2005 12:37 pm 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
вы правы-секюрности не получилось,снифер видит пароли (((

если поднимать ipsec на моем bsd-хосте,то придется поднимать туннели до каждого юзера в моей сети?
юзеры работают под вин2000про


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Majestic-12 [Bot], sezik


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика