Для работы по SSL/TLS требуется наличие на сервере необходимых сертификатов и соответствующей настройки сервера и клиента.
Для сервера: необходимо создать пару сертификат/ключ, подписать сертификат корневым сертификатом, и указать в настройках slapd местоположение сертификата сервера, ключа сервера и корневого сертификата.
При установке сервера из пакета генерируется его самоподписанный сертификат в /var/lib/ssl/cert/ldap.pem . Так как клиенты не имеют сертификата сервера (см. механизм SSL в заметке Создание сертификатов OpenSSL), то в /etc/openldap/ldap.conf клиента должно быть указано игнорирование ошибок проверки подписей сертификатов:
TLS_REQCERT allow
Если есть желание сделать полную схему авторизации, то:
TLS_REQCERT demand TLS_CACERT /etc/openldap/ca.cert
Параметры TLS_* на клиентах указываются как в /etc/openldap/ldap.conf, так и в /etc/ldap.conf
Значение по-умолчанию параметра TLS_REQCERT поменялось в OpenLDAP 2.1 с allow на demand, что привело к проблемам соединения с серверами LDAP (см. треды в Sisyphus).
Дата создания: 2006-05-24 13:09:03 (Фетисов Н. А. (naf))
Последнее изменение: 2006-05-26 07:56:29 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 2 Все версии
Wiki::Admin Карта раздела Оглавление Изменения за сутки Изменения за неделю Изменения за месяц