[Comm] TLS SSL

[Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, community.

В общем действительно проблема была с правами...
Но теперь смущает вывод netstat -nap:

[root@ring sysconfig]# netstat -nap | grep slapd
tcp        0      0 127.0.0.1:389           0.0.0.0:*               LISTEN      7197/slapd     
unix  2      [ ]         DGRAM                    12586  7197/slapd

почему 0.0.0.0:*? По идее ведь должно быть :636?




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] TLS SSL

[Nikolay A. Fetisov]

On Monday 18 April 2005 17:44, Anton Gorlov wrote:
> ....
> Но теперь смущает вывод netstat -nap:
>
> [root@ring sysconfig]# netstat -nap | grep slapd
> tcp        0      0 127.0.0.1:389           0.0.0.0:*        LISTEN      7197/slapd 
> unix  2      [ ]         DGRAM     12586  7197/slapd
>
> почему 0.0.0.0:*? По идее ведь должно быть :636?

Угу. И отдельной строкой. Не запустился ldaps:///, похоже.
В /etc/sysconfig/ldap в SLAPDURLLIST все кавычки есть?
'# nmap <IP сервера>' что говорит?

И  ещё можно посмотреть
$ openssl s_client -showcerts -connect <IP сервера>:636

-- 
С уважением,
Николай Фетисов

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Nikolay.

Вы писали 18 апреля 2005 г., 18:02:14:

> On Monday 18 April 2005 17:44, Anton Gorlov wrote:
>> ....
>> Но теперь смущает вывод netstat -nap:
>>
>> [root@ring sysconfig]# netstat -nap | grep slapd
>> tcp        0      0 127.0.0.1:389           0.0.0.0:*        LISTEN      7197/slapd
>> unix  2      [ ]         DGRAM     12586  7197/slapd
>>
>> почему 0.0.0.0:*? По идее ведь должно быть :636?

> Угу. И отдельной строкой. Не запустился ldaps:///, похоже.
> В /etc/sysconfig/ldap в SLAPDURLLIST все кавычки есть?
не хватало ' и '!

> '# nmap <IP сервера>' что говорит?

PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
111/tcp open  rpcbind
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
636/tcp open  ldapssl


> И  ещё можно посмотреть
> $ openssl s_client -showcerts -connect <IP сервера>:636

Он много чего сказал, похожего на правду... Вопрос по поводу
сертефикатов - там ведь нужно указывать имя хотса. Так вот hostname
возвращает ring.local. Сам комп по этому имени не пингуется. Доступа к
днсу нет (пока что).
На какой hostname генерить ключ? Или прописать на всех "клиентских"
машинках в /etc/hosts ring.local его.ip и генерить на ring.local?





-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] TLS SSL

[Nikolay A. Fetisov]

Здравствуйте, Anton.
On Monday 18 April 2005 18:27, Anton Gorlov wrote:
> ...............
> Вопрос по поводу 
> сертефикатов - там ведь нужно указывать имя хотса. Так вот
> hostname возвращает ring.local. Сам комп по этому имени не
> пингуется. Доступа к днсу нет (пока что).
> На какой hostname генерить ключ? Или прописать на всех
> "клиентских" машинках в /etc/hosts ring.local его.ip и
> генерить на ring.local?

Ну... Пусть меня поправят, если что не так...
Мне в последнее время нравится делать для тех машин, на которых 
стоит LDAP, отдельный alias в DNS вида ldap.XXX.YY и его уже и 
прописывать в сертификат. 

Соответственно, в отсутствии DNS Вам действительно надо 
прописать IP сервера во все /etc/hosts. Тогда с локальных машин 
сервер LDAP будет доступен под тем именем, которое прописано в 
его сертификате. 

Хотя, откровенно говоря, совсем красивую рабочую конфигурацию 
клиента и сервера LDAP, работающих по SSL, с авторизацией 
клиентов с помощью сертификатов, мне получить так пока и не 
удавалось. Несколько раз пробовал, но потом откатывался обратно 
на параметр  'TLS_REQCERT     allow'  в  /etc/ldap.conf . 

-- 
С уважением,
Николай Фетисов

Re: [Comm] TLS SSL

[Boldin Pavel]

Nikolay A. Fetisov пишет:
> Здравствуйте, Anton.
> On Monday 18 April 2005 18:27, Anton Gorlov wrote:
> 
>>...............
>>Вопрос по поводу 
>>сертефикатов - там ведь нужно указывать имя хотса. Так вот
>>hostname возвращает ring.local. Сам комп по этому имени не
>>пингуется. Доступа к днсу нет (пока что).
>>На какой hostname генерить ключ? Или прописать на всех
>>"клиентских" машинках в /etc/hosts ring.local его.ip и
>>генерить на ring.local?
> 
> 
> 
> Хотя, откровенно говоря, совсем красивую рабочую конфигурацию 
> клиента и сервера LDAP, работающих по SSL, с авторизацией 
> клиентов с помощью сертификатов, мне получить так пока и не 
> удавалось. Несколько раз пробовал, но потом откатывался обратно 
> на параметр  'TLS_REQCERT     allow'  в  /etc/ldap.conf . 
> 


наверное всетаки в /etc/openldap/slapd.conf

/etc/ldap.conf - конф файл для nss_ldap or pam_ldap

мы сейчас этим занимаемся, сделаем - напишем в wiki
-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re: [Comm] TLS SSL

[Nikolay A. Fetisov]

On Monday 18 April 2005 20:22, Boldin Pavel wrote:
> Nikolay A. Fetisov пишет:
> > ....
> > Хотя, откровенно говоря, совсем красивую рабочую
> > конфигурацию клиента и сервера LDAP, работающих по SSL, с
> > авторизацией клиентов с помощью сертификатов, мне получить
> > так пока и не удавалось. Несколько раз пробовал, но потом
> > откатывался обратно на параметр  'TLS_REQCERT     allow'  в
> >  /etc/ldap.conf .
>
> наверное всетаки в /etc/openldap/slapd.conf
>
> /etc/ldap.conf - конф файл для nss_ldap or pam_ldap
>

Нет, именно в ldap.conf - в конфигурации клиента. Это он у меня 
не мог проверить корневой сертификат сервера :-) Причём 
в /etc/openldap/ldap.conf, а также для Master - 
в /etc/ldap.conf, и для текущего Sisyphus - 
в /etc/nss_ldap.conf и /etc/pam_ldap.conf. 

> мы сейчас этим занимаемся, сделаем - напишем в wiki
Есть кое-какие наработки на эту тему... 

-- 
С уважением,
Николай Фетисов

Re: [Comm] TLS SSL

[Boldin Pavel]

Nikolay A. Fetisov пишет:
> On Monday 18 April 2005 20:22, Boldin Pavel wrote:
> 
>>Nikolay A. Fetisov пишет:
>>
>>>....
>>>Хотя, откровенно говоря, совсем красивую рабочую
>>>конфигурацию клиента и сервера LDAP, работающих по SSL, с
>>>авторизацией клиентов с помощью сертификатов, мне получить
>>>так пока и не удавалось. Несколько раз пробовал, но потом
>>>откатывался обратно на параметр  'TLS_REQCERT     allow'  в
>>> /etc/ldap.conf .
>>
>>наверное всетаки в /etc/openldap/slapd.conf
>>
>>/etc/ldap.conf - конф файл для nss_ldap or pam_ldap
>>
> 
> 
> Нет, именно в ldap.conf - в конфигурации клиента. Это он у меня 
> не мог проверить корневой сертификат сервера :-) Причём 
> в /etc/openldap/ldap.conf, а также для Master - 
> в /etc/ldap.conf, и для текущего Sisyphus - 
> в /etc/nss_ldap.conf и /etc/pam_ldap.conf. 
> 
> 
>>мы сейчас этим занимаемся, сделаем - напишем в wiki
> 
> Есть кое-какие наработки на эту тему... 
> 

странно, именно это у нас просто заработало: стали распространять 
ldapcacert.pem (CA cert публичный) и установили
tls_cacert /etc/openldap/ssl/ldapcacert.pem

и проверка сервера (а с ним и простой tls) сразу заработали

Что я сделал не так?

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Nikolay.

Вы писали 18 апреля 2005 г., 20:49:20:

>> > Хотя, откровенно говоря, совсем красивую рабочую
>> > конфигурацию клиента и сервера LDAP, работающих по SSL, с
>> > авторизацией клиентов с помощью сертификатов, мне получить
>> > так пока и не удавалось. Несколько раз пробовал, но потом
>> > откатывался обратно на параметр  'TLS_REQCERT     allow'  в
>> >  /etc/ldap.conf .
>>
>> наверное всетаки в /etc/openldap/slapd.conf
>>
>> /etc/ldap.conf - конф файл для nss_ldap or pam_ldap
>>
> Нет, именно в ldap.conf - в конфигурации клиента. Это он у меня
> не мог проверить корневой сертификат сервера :-) Причём 
> в /etc/openldap/ldap.conf, а также для Master - 
> в /etc/ldap.conf, и для текущего Sisyphus - 
> в /etc/nss_ldap.conf и /etc/pam_ldap.conf. 
>> мы сейчас этим занимаемся, сделаем - напишем в wiki
> Есть кое-какие наработки на эту тему...

Так давайте создадим что-то полноценное вместе? И может переберёмся в
openldap@?




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru