[Comm] LDAP w TLS

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] LDAP w TLS
@ 2004-04-29  9:04 Yuri N. Yaschenko
  2004-04-30 11:50 ` Alexander Leschinsky
  0 siblings, 1 reply; 8+ messages in thread
From: Yuri N. Yaschenko @ 2004-04-29  9:04 UTC (permalink / raw)
  To: community

Доброго времени суток!

Скажите пожалуйста где почитать (доступно :-) или подскажите как настроить в 
ЛДАП TLS.

Я чет не понял ничего.
Генерил ключи как описано, прописывал соотв. строки в конфиге, но он не 
стартует, если в конфиге про TLS сказать.

Спасибо.
-- 
By,
Yuri.

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-04-29  9:04 [Comm] LDAP w TLS Yuri N. Yaschenko
@ 2004-04-30 11:50 ` Alexander Leschinsky
  2004-05-05  6:32   ` Yuri N. Yaschenko
  0 siblings, 1 reply; 8+ messages in thread
From: Alexander Leschinsky @ 2004-04-30 11:50 UTC (permalink / raw)
  To: Yuri N. Yaschenko

[-- Attachment #1: Type: text/plain, Size: 324 bytes --]

Hello Yuri,

   On Thu, 29 Apr 2004 12:04:10 +0300 (29.04.2004 15:04 my local time),
   you wrote, at least in part:

> Скажите пожалуйста где почитать (доступно :-) или подскажите как настроить
> в 
> ЛДАП TLS.
SLAPDURL ?!

cat /etc/sysconfig/ldap
+ логи в студию....
-- 
Best regards,
 Alexander Leschinsky

[-- Attachment #2: Type: application/pgp-signature, Size: 201 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-04-30 11:50 ` Alexander Leschinsky
@ 2004-05-05  6:32   ` Yuri N. Yaschenko
  2004-05-05 14:28     ` Alexander Leschinsky
  0 siblings, 1 reply; 8+ messages in thread
From: Yuri N. Yaschenko @ 2004-05-05  6:32 UTC (permalink / raw)
  To: community

Hi!
> > Скажите пожалуйста где почитать (доступно :-) или подскажите как
> > настроить в
> > ЛДАП TLS.
> SLAPDURL ?!
> cat /etc/sysconfig/ldap
> + логи в студию....
[root@ws811-2 log]# service slapd restart
Service slapd is not running.            [PASSED]
Checking slapd configuration           [ DONE ]
Adjusting environment for slapd:      [ DONE ]
Starting slapd service:                      [FAILED]
---------
/var/log/messages
May  5 08:46:09 ws811-2 slapd: slapd shutdown succeeded
May  5 08:46:09 ws811-2 slapd: config check succeeded
May  5 08:46:09 ws811-2 slapd: Checking slapd configuration succeeded
May  5 08:46:10 ws811-2 slapd: Adjusting environment for slapd: succeeded
May  5 08:46:10 ws811-2 slapd: slapd startup failed
----------
/etc/sysconfig/ldap
########################################
# SLAPD Proccess options
########################################
# SLAPD URL list
#SLAPDURLLIST="ldap://localhost/"
#SLAPDURLLIST="ldap://localhost/ ldaps:///"
SLAPDURLLIST="ldap:/// ldaps:///"

SLAPD_OPTIONS=""

########################################
# SLURPD Proccess options
########################################
SLURPD_OPTIONS='-t /var/lib/ldap/tmp'
--------------

Пробовал в разных комбинациях SLAPDURLLIST :-)

Может ключ неверно генерил? Пользовал openssl как описано в доке.
-- 
By,
Yuri.


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-05-05  6:32   ` Yuri N. Yaschenko
@ 2004-05-05 14:28     ` Alexander Leschinsky
  2004-05-06  6:02       ` Yuri N. Yaschenko
  0 siblings, 1 reply; 8+ messages in thread
From: Alexander Leschinsky @ 2004-05-05 14:28 UTC (permalink / raw)
  To: Yuri N. Yaschenko

[-- Attachment #1: Type: text/plain, Size: 384 bytes --]

Hello Yuri,

   On Wed, 5 May 2004 09:32:08 +0300 (05.05.2004 12:32 my local time),
   you wrote, at least in part:

> SLAPDURLLIST="ldap:/// ldaps:///"
[ray@bazaar ~]$ rpm -qa | grep openldap-server
openldap-servers-2.1.26-alt3.1
[ray@bazaar ~]$ cat /etc/sysconfig/ldap | grep -i slapdurl
SLAPDURLLIST='-h "ldap:/// ldaps:///"'

-- 
Best regards,
 Alexander Leschinsky

[-- Attachment #2: Type: application/pgp-signature, Size: 201 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-05-05 14:28     ` Alexander Leschinsky
@ 2004-05-06  6:02       ` Yuri N. Yaschenko
  2004-05-06  8:29         ` Alexander Leschinsky
  0 siblings, 1 reply; 8+ messages in thread
From: Yuri N. Yaschenko @ 2004-05-06  6:02 UTC (permalink / raw)
  To: community

Hello, Alexander!
> > SLAPDURLLIST="ldap:/// ldaps:///"
> [ray@bazaar ~]$ rpm -qa | grep openldap-server
> openldap-servers-2.1.26-alt3.1
> [ray@bazaar ~]$ cat /etc/sysconfig/ldap | grep -i slapdurl
> SLAPDURLLIST='-h "ldap:/// ldaps:///"'
[root@ws811-2 sysconfig]# rpm -qa | grep openldap-servers
openldap-servers-2.1.30-alt1

[root@ws811-2 sysconfig]# cat ldap | grep SLAPDURLLIST
SLAPDURLLIST='-h "ldap:/// ldaps:///"'

Видимо проблема в другом. Я подозреваю что в сертификате. Тогда вопрос: как 
правильно сгенерить сертификат?

Спасибо за внимание.
-- 
By,
Yuri.


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-05-06  6:02       ` Yuri N. Yaschenko
@ 2004-05-06  8:29         ` Alexander Leschinsky
  2004-05-06 11:21           ` Yuri N. Yaschenko
  0 siblings, 1 reply; 8+ messages in thread
From: Alexander Leschinsky @ 2004-05-06  8:29 UTC (permalink / raw)
  To: Yuri N. Yaschenko

[-- Attachment #1: Type: text/plain, Size: 887 bytes --]

Hello Yuri,

   On Thu, 6 May 2004 09:02:14 +0300 (06.05.2004 12:02 my local time),
   you wrote, at least in part:

> Видимо проблема в другом. Я подозреваю что в сертификате.
проверяем переименованием pem-файла в то имя сервиса, которое понимает
TLS и проверяем коннектом (openssl s_client....) на нужный порт

>  Тогда вопрос: как
> правильно сгенерить сертификат?
Ну во первых: у меня есть ощущение, что приватный ключ должен быть
некриптованным (то бишь при создании пароль пустой), может этого и
хватит для решения

Во вторых - ждя генерации ключей есть два пути: один быстрый, но
идеологически неверный, второй немного длинее, но правильнее

Первый путь
cd /var/lib/ssl/certs
make slapd.pem (не забыв про пустой пароль)

Второй
Сделать локальную CA
Сгенерить CSR на нужный хост
Подписать request ключом от CA

-- 
Best regards,
 Alexander Leschinsky

[-- Attachment #2: Type: application/pgp-signature, Size: 201 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-05-06  8:29         ` Alexander Leschinsky
@ 2004-05-06 11:21           ` Yuri N. Yaschenko
  2004-05-06 13:25             ` Alexander Leschinsky
  0 siblings, 1 reply; 8+ messages in thread
From: Yuri N. Yaschenko @ 2004-05-06 11:21 UTC (permalink / raw)
  To: community

Hello, Alexander!

Так, демон поднялся (я так и не понял какого он не поднимался). Если gq 
настроить на TLS - ругается.

> проверяем переименованием pem-файла в то имя сервиса, которое понимает
> TLS и проверяем коннектом (openssl s_client....) на нужный порт
таких нету, поэтому попробовал на slapd
[root@ws811-2 ssl]# openssl s_client -host 127.0.0.1 -port 389 -cert 
slapd.pem -key slapd.pem
CONNECTED(00000004)
16007:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake 
failure:s23_lib.c:226:
[root@ws811-2 ssl]# openssl s_client -host 192.168.35.1 -port 389
CONNECTED(00000004)
16047:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake 
failure:s23_lib.c:226:

> Во вторых - ждя генерации ключей есть два пути: один быстрый, но
> идеологически неверный, второй немного длинее, но правильнее
> Первый путь
> cd /var/lib/ssl/certs
> make slapd.pem (не забыв про пустой пароль)
Вот так делал. Только пароль он не спросил.
> Второй
> Сделать локальную CA
> Сгенерить CSR на нужный хост
> Подписать request ключом от CA
А этого не понял. Но попробовал в /var/lib/ssl/certs
  make server.key
  make server.csr
  make server.crt
  make slapd.pem
Без пароля не дал... Грит 4 символа минимум.
В /etc/openssl/openssl.cnf прописал параметры хоста.

-- 
By,
Yuri.


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] LDAP w TLS
  2004-05-06 11:21           ` Yuri N. Yaschenko
@ 2004-05-06 13:25             ` Alexander Leschinsky
  0 siblings, 0 replies; 8+ messages in thread
From: Alexander Leschinsky @ 2004-05-06 13:25 UTC (permalink / raw)
  To: Yuri N. Yaschenko

[-- Attachment #1: Type: text/plain, Size: 347 bytes --]

Hello Yuri,

   On Thu, 6 May 2004 14:21:24 +0300 (06.05.2004 17:21 my local time),
   you wrote, at least in part:

> таких нету, поэтому попробовал на slapd
Так кто же сказал, что коннектиться надо надо на 389? Правильно openssl
обложил, потому как ldaps живет не там
grep ldaps /etc/services
-- 
Best regards,
 Alexander Leschinsky

[-- Attachment #2: Type: application/pgp-signature, Size: 201 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2004-05-06 13:25 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-29  9:04 [Comm] LDAP w TLS Yuri N. Yaschenko
2004-04-30 11:50 ` Alexander Leschinsky
2004-05-05  6:32   ` Yuri N. Yaschenko
2004-05-05 14:28     ` Alexander Leschinsky
2004-05-06  6:02       ` Yuri N. Yaschenko
2004-05-06  8:29         ` Alexander Leschinsky
2004-05-06 11:21           ` Yuri N. Yaschenko
2004-05-06 13:25             ` Alexander Leschinsky

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git