Ucty v LDAPu

Krištof Petr Petr na Kristof.CZ
Středa Září 11 18:29:38 CEST 2002


Jan Kasprzak wrote:
> Tak jsem si s timhle hral vic, dosavadni vysledky (a nove problemy):
> 
> Nastaveni "pam_check_host_attr yes" v /etc/ldap.conf nefunguje
> (klient klade uplne stejny dotaz jako bez neho). Chtelo by to neco
> podobneho pro nss_ldap. Nicmene tohle lze obejit direktivou
> ve stylu

/etc/ldap.conf je configurak pro nss_ldap, ne?
Restartnout nscd?

> 
> No a ted ten novy problem: nejsem schopen nakonfigurovat nss_ldap
> tak, aby pouzival SSL/TLS. Vygeneroval jsem si certifikat
> pro ldap.domena.cz, dal jsem odkaz do slapd.conf, restartoval slapd.
> Kdyz dam vyhledavani
> 
> ldapsearch -H ldaps://ldap.domena.cz -vLx -b 'dc=domena,dc=cz' '(cn=mujlogin)'
> 
> dostanu spravnou odpoved. Dokonce jsem to zkousel z jineho pocitace
> a tcpdumpem/etherealem jsem se dival, ze data jdou skutecne zasifrovane
> (retezec "mujlogin" se tam nikde neobjevi, zatimco pokud dam ldap://
> misto ldaps://, tak je to videt cele).
> 
> Cili bych rekl, ze ldaps mi chodi. Kdyz ale do ldap.conf
> dam cestu k certifikatu me CA a zapnu "ssl on" a "uri ldaps://ldap.domena.cz/"

To se musi zadavat ve formatu

# Your LDAP server. Must be resolvable without using LDAP.
host 192.168.1.1:636
#
# The port.
# Optional: default is 389.
#port 389
#
# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
ssl on
#
# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
tls_cacertfile /etc/ssl/certs/ca-company.pem
tls_cert /etc/ssl/certs/server.pem
tls_key /etc/ssl/certs/server.pem
#


Takhle nejak to bylo v RH-7.2, nerucim za to, ze to bude fungovat.


pk



Další informace o konferenci Linux