LDAP Master Slave ssl/tls

To: Debian-User-German <debian-user-german@lists.debian.org>
Subject: LDAP Master Slave ssl/tls
From: Frank Tammer <frank@informatik.rwth-aachen.de>
Date: Thu, 13 May 2004 15:14:29 +0200
Message-id: <[🔎] 1084454069.1230.67.camel@cotton.informatik.rwth-aachen.de>

Hallo Leute,

ich habe hier unter Debian Testing einen LDAP Server mit slurpd und
einen Slave welcher von diesem gefuettert wird aufgesetzt.

Die Clients habe ich zur Zeit mittels tls konfiguriert:

ldap.conf:	TLS_CACERT /etc/ssl/certs/cacert.pem

pam_ldap.conf:  ssl start_tls
		tls_checkpeer yes
		tls_cacertfile /etc/ssl/certs/cacert.pem
		tls_cacertdir /etc/ssl/certs

Und natuelich was noch fuer LDAP noetig ist.
Master - Client Betrieb funktioniert jedenfalls problemlos 
mittels ssl/tls.
Auch der slurpd gibt problemlos ueber tls seine Daten an den 
Slave weiter.

Nun meine Fragen:

Wie bekomme ich es hin, das die Clients per ssl/tls sowohl 
den Master als auch (falls dieser ausfaellt oder auch gleichzeitig
um den Master zu entlasten) den Slave per ssl/tls befragen koennen?

Das Problem was ich habe ist, das die Clients nur mit einem
von beiden eine verschluesselte Verbindung aufnehmen koennen.
Die Ursache ist auch klar, ich habe sowohl fuer den Master als auch
fuer den Slave mit Hilfe von openssl selbstsignierte Zertifikate
erzeugt. Man kann nun in der ldap.conf oder pam_ldap.conf zwar mehrere
LDAP-Server eintragen aber nicht mehrere Zertifikate. Und fuer beide
Rechner das selbe Zertifikat benutzen funktioniert auch nicht, da der
volle Rechnername mit Domain eingetragen werden muss.

Kann man mit openssl ein Zertifikat fuer beide Rechner erstellen?
Konnte in diversen Buechern und google bis jetzt nichts finden.
Gibt es andere Loesungen unter Verwendung von ssl/tls?

Wenn das mal funktionieren sollte oder auch nicht und ich das
ganze ohne ssl/tls betreiben wuerde, besteht das selbe Problem mit
dem Automounter.

/etc/auto.master:

/home ldap
ldap-master.test.de:ou=auto.home,ou=automount,dc=Users,dc=test,dc=de

Wie kann ich dem Client sagen das er automatisch den ldap-slave
verwenden soll wenn der ldap-master nicht verfuegbar ist? 
Gibts da sowas wie unter Sun
 
	automount: ldap

was man in die nsswitch.conf eintragen kann?

Hoffentlich hab ich alles verstaendlich erklaert ....

Vielen Dank
Frank Tammer

Attachment: signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil

Reply to:

Follow-Ups:
- Re: LDAP Master Slave ssl/tls
  - From: Torsten Hilbrich <torsten.hilbrich@gmx.net>

Prev by Date: Re: Debian als Server (Grundsätzliches)
Next by Date: deutsche Umlaute hier und da
Previous by thread: Mmail-Konfiguration?
Next by thread: Re: LDAP Master Slave ssl/tls
Index(es):
- Date
- Thread