From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dima@sakhalin.ru>
Date: Wed, 23 Apr 2003 09:30:42 +1100
From: Dmitry Lebkov <dima@sakhalin.ru>
To: community@altlinux.ru
Subject: Re: [Comm] OpenLDAP =?KOI8-R?Q?=C9?= SSL
Message-Id: <20030423093042.5ef814e0.dima@sakhalin.ru>
In-Reply-To: <200304191453.48391.alexey_borovskoy@pochtamt.ru>
References: <200304191453.48391.alexey_borovskoy@pochtamt.ru>
Organization: Sakhalin branch of DalSvyaz JSC
X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20030423093042.5ef814e0.dima@sakhalin.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Sat, 19 Apr 2003 14:53:48 +1300
Alexey Borovskoy <alexey_borovskoy@pochtamt.ru> wrote:

> Добрый день.
> 
> Не получается подружить openldap с openssl.
> Без ssl ldap работает нормально. 
> 
> Дано:
> openldap-servers-2.0.27-alt5
> openldap-2.0.27-alt5
> openssl-0.9.6i-alt3
> 
> 1. Генерю сертификат с помощью
> openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem
> 
> cn прописываю как server.intranet. В DNS все нормально.

Имя 'server.intranet' присутствует в ДНС? И в обратной зоне?
cn в сертификате должно совпадать с DNS-именем, соответствущем
ip-адресу, на котором слушает LDAP-сервер. 

> 2. Получившийся сертификат кладу в /etc/openldap/
> 
> 3. В /etc/openldap/slapd.conf раскоментирую строчки
>  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
>  TLSCertificateFile      /etc/openldap/ldap.pem
>  TLSCertificateKeyFile   /etc/openldap/ldap.pem
>  TLSCACertificateFile    /etc/openldap/ldap.pem
> 
> 4. Делаю service ldap start
> 
> 5. Делаю netstat -tl
> tcp        0      0 server.intranet:ldaps   *:*     LISTEN
> 
> 6. Коннекчусь GQ, прописываю пароль rootdn и получаю ошибку
> Can't contact LDAP server

GQ использует TLS. Т.е. тебе в конфиге надо указать порт 389
и поствить галку 'Enable TLS'.

У меня так (через TLS на 389 порту) работает 3 сервера (мастер
и две реплики), GQ, nss_ldap и Courier-IMAP.

Вот ... %)

-- 
WBR, Dmitry Lebkov