From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dima@sakhalin.ru>
Message-ID: <41DD3D4C.1050302@sakhalin.ru>
Date: Thu, 06 Jan 2005 23:29:48 +1000
From: Dmitry Lebkov <dima@sakhalin.ru>
User-Agent: Mozilla Thunderbird 1.0 (X11/20041206)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] LDAP =?KOI8-R?Q?=C7=D2=C1=C2=CC=C9?=
References: <41DBEE89.6020109@nm.ru> <41DC0D86.2010303@sakhalin.ru>
	<41DCF0C9.1010401@nm.ru>
In-Reply-To: <41DCF0C9.1010401@nm.ru>
X-Enigmail-Version: 0.89.6.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 06 Jan 2005 13:26:26 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/41DD3D4C.1050302@sakhalin.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Artem wrote:
> 
>>
>> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
>> tls_reqcert never
> 
> 
> Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в 
> ldap.conf :
> 
> TLS_CACERT     /etc/openldap/ssl/ca.cert
>    где   ca.cert - копия сертификата сервера.
> Почему же не выполнялась проверка по данному способу?
> 
> Сертификаты - в порядке:
> openssl verify -CAfile ca.cert -verbose ldap.cert
> ldap.cert: OK

А права на чтение этого файла у клиента есть? У меня всё это
в свое время вполне нормально работало, но потом надоело собирать
сертификаты серверов руками и теперь пользую tls_reqcert never.

>> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
>> еще и в одинарные кавычки.
>>
>> SLAPDURLLIST="'ldap:/// ldaps:///'"
>>
> Да, с этим нюансом теперь все ясно. Это уже работает.
> 
> Еще один вопрос - почему /var/log/ldap - пуст ?

А в конфиге slapd.conf логгинг включен? А syslog знает
куда складывать логи от slapd?

> Следующие грабли - делаем
> service slapd restart
> Service slapd is not running.                [PASSED]
> Checking slapd configuration               [ DONE ]
> Adjusting environment for slapd:          [ DONE ]
> Service slapd is already running.        [PASSED]
> 
> Хотя:
> ps aux | grep slapd
> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> То же самое и для service slapd stop - остановить невозможно - только 
> путем kill

Смотреть скрипт /etc/rc.d/init.d/slapd. Скорее всего не хватает прав
на создание pid-файла. Эту проблему уже фиксили в какой-то из сборок.

А вообще, лучше поставить последний openldap из Сизифа ... ;)

--
WBR, Dmitry Lebkov