BSDPORTAL.RU
http://bsdportal.ru/

TLS и LDAP
http://bsdportal.ru/viewtopic.php?f=23&t=5572
Страница 1 из 1

Автор:  MaxZ [ Вт 07 июн, 2005 6:12 pm ]
Заголовок сообщения:  TLS и LDAP

FreeBSD 5.3
OpenLDAP server 2.2.26
OpenSSL 0.9.7g
Squid 2.5.10_1
Настраиваю шлюз в инет,на нем прокси Squid,авторизация посредством LDAP с TLS.

Не получается включить TLS в LDAP.

slapd.conf :

include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/corba.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema

TLSCertificateFile /usr/local/etc/openldap/ssl/server.pem
TLSCertificateKeyFile /usr/local/etc/openldap/ssl/server.pem
TLSCACertificateFile /usr/lical/etc/openldap/ssl/server.pem

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

loglevel -1
#######################################################################
# BDB database definitions
#######################################################################

database ldbm
suffix "dc=helper,dc=ru"
rootdn "cn=admin,dc=helper,dc=ru"
rootpw secret
directory /var/db/openldap

index objectClass,uid,uidNumber,gidNumber eq
index cn,name,surName,givenName eq,subinitial

access to attr=userPassword
by self write
by anonymous auth
by dn="cn=admin,dc=helper,dc=ru" write
by * read access to *
by dn="cn=admin,dc=helper,dc=ru" write
by * read

ldap.conf :
BASE dc=helper, dc=ru
URI ldap://127.0.0.1 ldap://ldap.helper.ru
TLS_CACERT /usr/local/etc/openldap/ssl/server.pem

Вот это падает в debug.log :

Jun 7 16:25:37 bsd slapd[13795]: main: TLS init def ctx failed: -1
Jun 7 16:25:37 bsd slapd[13795]: slapd shutdown: freeing system resources.
Jun 7 16:25:37 bsd slapd[13795]: slapd stopped.
Jun 7 16:25:37 bsd slapd[13795]: connections_destroy: nothing to destroy.

Что посоветуете,наведите на путь истинный?

Автор:  sys [ Вт 07 июн, 2005 11:55 pm ]
Заголовок сообщения: 

ключи и пр. сделал?
а какой смысл в шифрованом трафике в пределах localhost ?

Автор:  MaxZ [ Ср 08 июн, 2005 9:06 am ]
Заголовок сообщения: 

ключ сгенерил:
openssl -req -new -x509 -nodes -out server.pem -keyout server.pem -days 1825

юзеры будут авторизироваться из своего браузера squid_ldap_auth в LDAP,поэтому нужен TLS,дабы не поймали пароль снифером нужен шифрованный сетевой канал до шлюза в инет(только для автроизации)

Автор:  sys [ Ср 08 июн, 2005 12:11 pm ]
Заголовок сообщения: 

в этом случаи шифрованого канала ты не получиш
для того что бы получить шифрованый канал используй https или ipsec

Автор:  MaxZ [ Ср 08 июн, 2005 5:41 pm ]
Заголовок сообщения: 

всетаки завел,помог человек с opennet.ru http://www.opennet.ru/openforum/vsluhfo ... /2118.html

но squid_ldap_auth через TLS не ходит,не полчилось (((

а каким макаром прикрутить к сквиду https ? (извиняюсь конечно-доку по сквиду пока не глядел на предмет вопроса)

Автор:  sys [ Чт 09 июн, 2005 12:37 am ]
Заголовок сообщения: 

извени, опечатался, спешил
ssl или ipsec тебе только подойдет
рекомендую ipsec

Автор:  MaxZ [ Вт 21 июн, 2005 12:37 pm ]
Заголовок сообщения: 

вы правы-секюрности не получилось,снифер видит пароли (((

если поднимать ipsec на моем bsd-хосте,то придется поднимать туннели до каждого юзера в моей сети?
юзеры работают под вин2000про

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/