OpenLDAP pres ssl
katerina bub
katerina.bub na gmail.com
Středa Září 19 14:42:15 CEST 2012
DD,
snazim se rozchodit openldap na CentOS 6.2. Potrebuju to pro
autentikaci různých systémů.
Postupovala jsem podle navodu na
http://www.overclockers.com/forums/showthread.php?t=707070,
Openldap mi bezi bez ssl, umím se k nemu prřipojit,
příkaz
ldapsearch -H ldap://172.19.15.165 -x -b "" -s base
mi odpoví. Php skript me prihlasi.
Selinux mám vypnuty, ve fw povoleny porty 636 a 389, podle netstatu na
nich server posloucha.
Problém je, že z lokalu
ldapsearch -H ldaps://172.19.15.165 -x -b "" -s base
mi neodpoví nic a nedočkám se konce, musím to vypnout pomocí ^C
Uz skoro tyden s tim bojuji, nahodne zkousim ruzne testovani,
při připojování přes php se mi nepodaří ldap_bind, zůstane to tam viset.
do ldap.conf jsem přidala
TLS_REQCERT never
ale nepomohlo to.
Mám pocit, že by to mohlo být certifikátem,
openssl s_client -connect localhost:636 -showcerts
CONNECTED(00000003)
a zůstane viset
Někde jsem četla, že php bere jen cer certifikáty a ne pem, tak jsem
je zkusila převést
# openssl x509 -inform PEM -outform DER -in plb_cert.pem -out plb_cert.cer
---tohle prošlo
# openssl x509 -inform PEM -outform DER -in plb_key.pem -out plb_key.cer
unable to load certificate
139898753300296:error:0906D06C:PEM routines:PEM_read_bio:no start
line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
Zkusila jsem znovu vygenerovat klíče příkazem
openssl req -new -x509 -nodes -out /etc/pki/tls/certs/plb2_cert.pem
-keyout /etc/pki/tls/certs/plb2_key.pem -days 365
tentokrát jsem dala jako Common name IP adresu, a při dalším pokusu
jméno počítače, ale převést key.pem na key.cer se mi nepodařilo.
Kdyz jsem spustila slapd z konzole prikazem
slapd -h ldaps://172.19.15.165 -d -1
a pokusila jsem se pripojit ldapsearch -H ldaps://172.19.15.165 -x -b
"" -s base,
posledni radky byly
connection_get(12): got connid=1000
connection_read(12): checking for input on id=1000
TLS: using moznss security dir /etc/openldap/certs prefix .
a pak uz nic.
Můžete mě někdo postrčit dál? Netrvám na ldaps, ale nechci, aby se
síti pohybovala nešifrovaná hesla. Možná by podobnou službu poskytl
kerberos? To jsem ještě nezkoumala, tak jestli mi nekdo napise, ze je
to lepsi cesta, tak klidne pujdu tudy.
Další informace o konferenci Linux