Re: Openldap mit SSL
Volker Katz wrote:
Moin,
ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein
Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend
entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden.
Dazu habe ich folgendes in meine sldap.conf eingetragen:
TLSCipherSuite HIGH:MEDIUM:+SSLv2
CACertificateFile /etc/ldap/ssl/server.pem
TLSCertificateFile /etc/ldap/ssl/server.pem
TLSCertificateKeyFile /etc/ldap/ssl/server.pem
TLSVerifyClient never
Ich weiss zwar nicht, welche Version du verwendest, aber in der mir
bekannten Version konnte slapd Zertifikat und Key in einem File nicht
verdauen. Das sah dann z.B. so aus:
TLSCertificateFile /etc/openldap/ssl/slave_CRT.pem
TLSCertificateKeyFile /etc/openldap/ssl/slave_KEY.pem
TLSCACertificateFile /etc/openldap//ssl/CA_Cert_CRT.pem
server.pm habe ich vorher folgendermaßen erstellt:
openssl req -newkey rsa:1024 -x509 -nodes -out server.pem -keyout server.pem
-days 365
Anschließend habe ich noch die /etc/default/slapd bearbeitet und folgende
Zeile hinzugefügt:
SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"
Ohne jetzt eine Debian variante installiert zu haben: Man kann slapd
auch per Commandline sagen, wo er binden soll, also im init-Script.
Nun habe ich openldap natürlich neu gestartet und versucht mit Kontakt eine
Verbindung herzustellen. Als Antwort habe ich folgendes bekommen: Keine
Verbindung zu Rechner ldaps://192.168.0.9:636. Vor den Änderungen habe ich
eine Verbindung zu ldap://192.168.0.9:389 herstellen können.
Habt Ihr einen Tip für mich?
Gruß & Danke
Volker
Sehr hilfreich kann es auch sein, im syslog nach zu schaun. Ich
empfehele ein 'loglevel 64'.
Martin
Reply to: