From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <426640B6.8010107@inbox.ru> Date: Wed, 20 Apr 2005 16:44:54 +0500 From: Boldin Pavel User-Agent: Mozilla Thunderbird 1.0 (X11/20050302) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: community@altlinux.ru Subject: Re: [Comm] TLS SSL References: <42661D7B.20906@inbox.ru> <1278330642.20050420134539@mail.ru> In-Reply-To: <1278330642.20050420134539@mail.ru> Content-Type: text/plain; charset=windows-1251; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 20 Apr 2005 11:41:55 -0000 Archived-At: List-Archive: List-Post: Anton Gorlov пишет: > Здравствуйте, Boldin. > > Вы писали 20 апреля 2005 г., 13:14:35: > > >>Ура! Заработало! > > Хм... > > >>Значит делаем так: >># squid_ldap_auth -b "dc=nirvana,dc=home" -H 'ldap://nirvana.home/' -f >>"uid=%s" -v 3 -Z >>где -v 3 - версия протокола для bind, -Z - указание на использование TLS. >>================== stdin >>vasya file >>OK >>=================== >>в squid.conf пока можно записать /usr/bin/strace -o /tmp/strace.log >>/usr/lib/squid/squid_ldap_auth ..... >>(и отсылать/смотреть самоу /tmp/strace.log) > > > Ща посмотрим.. > > >>1. замечание squid_ldap_auth запускается НЕ ПОД root, значит, если нет >>прав на чтение CAcert (кстати, squid_ldap_auth читает >>/etc/openldap/ldap.conf, в котором есть опция TLS_CACERT) >>то все обламывается (что скорее всего и случилось :) > > Но у меня та в этом файле всё закоментировано (из коробки).. > Так что не похоже что у меня проблема в этом. если TLS_CACERT не установлен, то проблема скорее всего в этом... TLS_CACERT должен устанавиватся в файл, в котором лежит CA сертификат, по нему проводится проверка сервера (и TLS тоже по нему, без этого у меня не получалось настроить TLS) > > >>лечится либо так: >># cp /etc/openldap/ldap.conf /var/spool/squid/ldaprc >># cp /etc/openldap/ssl/cacert.pem /var/spool/squid/cacert.pem >># echo "TLS_CACERT /var/spool/squid/cacert.pem" > /var/spool/squid/ldaprc >>или просто добавлением squid в группу ldap и тогда >># chown ldap.ldap -R /etc/openldap >>прилагаются файлы: ldap.conf, squid.conf.bz2 (смотрите секции с >>auth_param), slapd.conf вам не нужен. >>если сразу заработает - с Вас бутылка пива :), будете в Самаре - завезете ;) > > > Я по почте отправлю, только такое ощущение что и сейчас не взлетит.. > и не понятно -почему же ldapsearch, запущенный от рута обламывается с > похожими симптомами? > Смотри выше... из-за tls_cacert и обламывается еще можно squid_ldap_auth от пользователя позапускать (помогает) создайте пользователя и дайте ему простой пароль, запускайте как показано выше и если пишет что не может TLS смотрите strace.log на предмет ошибки.. -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303.