LDAP und KMAIL mit S/MIME
Hallo Liste
Hintergrund:
Ich möchte gerne KMAIL mit S/MIME (Zertifizierung) nutzen (Stichwort
Ägypten/Kleopatra) in verbindung mit einem OPENLDAP-Server.
Durchgeführte Maßnahmen:
Für die Erstellung des selfsign Zertifikates (CA) und der Userzertifikate
habe ich TinyCA verwendet (mit einer scriptsammlung aus dem netz
"ssl.ca-01" funtzte es auch, und die openssl eigenen *.pl scripte sollten
auch hinhauen). Das alles läuft nach mehr oder weniger intensivem
rumfuckeln auch soweit, dass ich via Kleopatra Zertifikate (CA-cert,
UserCerts) importieren und fürs mailing benutzen kann. Bei ein Paar Usern
ist das kein Problem, sollten es mehr werden, ist die Pflege sehr
aufwendig. Die Beste Lösung ist ein zentaler Verzeichnisdienst (LDAP), in
dem ich jedem Benutzer den öffentliches Teil seines Zertifikates für die
anderen lesbar hinterlege. (an meinem LDAP Server authentifiziert sich
jeder Benutzer beim login via TLS und die Homeverzeichnisse werden durch
automounter/nfs zur verfügung gestellt).
Das ist auch geschehen (obj.class=inetorgPerson mit dem
attribyteType=userSMIMECertificate bzw "userCertificate")
Probleme:
in Kmail/Kleopatra auf dem Client habe ich (stichwort dirmngr) den
Ldapserver eingetragen, der versucht den slapd extern abzufragen. Nur
scheitert die Abfrage, und "ethereal" spuckt als grund einen
"protocolError" aus. (manuals halfen bis jetzt auch nicht weiter)
???Frage???
Hat jemand schon mit der Sache Erfahrung gemacht, oder vielleicht eine
Anleitung parat (im netz ist alles so global gehalten)? Und wie bekomme
ich das CAcert für alle lesbar in den slapd (die
objectClass=certificationAuthority scheiterte immer an dem
Attr.Type=authorityRevocationList).
Danke im Voraus
Jerome
Reply to: