From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldavinchi@inbox.ru>
Message-ID: <4264B0A0.8020500@inbox.ru>
Date: Tue, 19 Apr 2005 12:17:52 +0500
From: Boldin Pavel <ldavinchi@inbox.ru>
User-Agent: Mozilla Thunderbird 1.0 (X11/20050302)
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] LDAP. =?KOI8-R?Q?=D3=C5=CB=D5=D2=C9=D4=C9?=
References: <1284768476.20050418102531@mail.ru>	<200504182232.27874.alexey_borovskoy@mail.ru>	<1786961023.20050418145111@mail.ru>	<200504191710.55724.alexey_borovskoy@mail.ru>	<143743528.20050419093947@mail.ru>
	<4264A83B.40005@inbox.ru>
In-Reply-To: <4264A83B.40005@inbox.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 19 Apr 2005 07:15:03 -0000
Archived-At: <http://lore.altlinux.org/community/4264B0A0.8020500@inbox.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Boldin Pavel пишет:
> Anton Gorlov пишет:
> 
>> Здравствуйте, Alexey.
>>
>> Вы писали 19 апреля 2005 г., 8:10:55:
>>
>>
>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>> -чем сгенерить сертефикат
>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>> TLSCertificateKeyFile)?
>>>>>
>>>>>
>>>>> Можно с помощью tinyca. Есть в backports.
>>>>
>>>>
>>>> Ща посмотрю...
>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>
>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>> лдапу шариться.
>>
>>
>>
>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
>>

все мы здесь параноики :)
клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему 
подключаются...

для этого надо выставить на сервере

TLSVerifyClient demand

создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf

TLS_CERT /etc/openldap/ssl/vs01_cert.pem
TLS_KEY	/etc/openldap/ssl/vs01_key.pem

а сервер должен знать CA который выдал клиенту сертификат (то есть иметь 
в списках CA cert)

для каждой отдельной программы настраивается по-разному


>>
>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>
>>
>> а CA как получить?
> 
> 


-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.