BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: TLS и LDAP
СообщениеДобавлено: Вт 07 июн, 2005 6:12 pm 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
FreeBSD 5.3
OpenLDAP server 2.2.26
OpenSSL 0.9.7g
Squid 2.5.10_1
Настраиваю шлюз в инет,на нем прокси Squid,авторизация посредством LDAP с TLS.

Не получается включить TLS в LDAP.

slapd.conf :

include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/corba.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema

TLSCertificateFile /usr/local/etc/openldap/ssl/server.pem
TLSCertificateKeyFile /usr/local/etc/openldap/ssl/server.pem
TLSCACertificateFile /usr/lical/etc/openldap/ssl/server.pem

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

loglevel -1
#######################################################################
# BDB database definitions
#######################################################################

database ldbm
suffix "dc=helper,dc=ru"
rootdn "cn=admin,dc=helper,dc=ru"
rootpw secret
directory /var/db/openldap

index objectClass,uid,uidNumber,gidNumber eq
index cn,name,surName,givenName eq,subinitial

access to attr=userPassword
by self write
by anonymous auth
by dn="cn=admin,dc=helper,dc=ru" write
by * read access to *
by dn="cn=admin,dc=helper,dc=ru" write
by * read

ldap.conf :
BASE dc=helper, dc=ru
URI ldap://127.0.0.1 ldap://ldap.helper.ru
TLS_CACERT /usr/local/etc/openldap/ssl/server.pem

Вот это падает в debug.log :

Jun 7 16:25:37 bsd slapd[13795]: main: TLS init def ctx failed: -1
Jun 7 16:25:37 bsd slapd[13795]: slapd shutdown: freeing system resources.
Jun 7 16:25:37 bsd slapd[13795]: slapd stopped.
Jun 7 16:25:37 bsd slapd[13795]: connections_destroy: nothing to destroy.

Что посоветуете,наведите на путь истинный?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 07 июн, 2005 11:55 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3960
Откуда: Россия, Ростов-на-Дону
ключи и пр. сделал?
а какой смысл в шифрованом трафике в пределах localhost ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 июн, 2005 9:06 am 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
ключ сгенерил:
openssl -req -new -x509 -nodes -out server.pem -keyout server.pem -days 1825

юзеры будут авторизироваться из своего браузера squid_ldap_auth в LDAP,поэтому нужен TLS,дабы не поймали пароль снифером нужен шифрованный сетевой канал до шлюза в инет(только для автроизации)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 июн, 2005 12:11 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3960
Откуда: Россия, Ростов-на-Дону
в этом случаи шифрованого канала ты не получиш
для того что бы получить шифрованый канал используй https или ipsec


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 июн, 2005 5:41 pm 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
всетаки завел,помог человек с opennet.ru http://www.opennet.ru/openforum/vsluhfo ... /2118.html

но squid_ldap_auth через TLS не ходит,не полчилось (((

а каким макаром прикрутить к сквиду https ? (извиняюсь конечно-доку по сквиду пока не глядел на предмет вопроса)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 09 июн, 2005 12:37 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3960
Откуда: Россия, Ростов-на-Дону
извени, опечатался, спешил
ssl или ipsec тебе только подойдет
рекомендую ipsec


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 21 июн, 2005 12:37 pm 
Не в сети

Зарегистрирован: Вт 07 июн, 2005 5:59 pm
Сообщения: 4
вы правы-секюрности не получилось,снифер видит пароли (((

если поднимать ipsec на моем bsd-хосте,то придется поднимать туннели до каждого юзера в моей сети?
юзеры работают под вин2000про


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика