Re: [OpenLDAP] connessione ssl

Sat, 31 Jan 2009 05:19:43 -0800 

1) non usare certificati self-signed: sono inutile
2) che cosa hai usato come common name nei certificati? Ricordati che deve corrispondere al nome dell'host come risolto da "hostname" e da "host" sulla rispettiva macchina. 

Ciao, p.

Luigi Augello wrote:

Salve
Non so più dove sbattere la testa, sono novizio nell'utilizzo di Openldap,
utilizzo CentOS 5.2 e devo realizzare la sincronizzazione fra due database.
Funziona benissimo, però, cosa disdicevole, il traffico viaggia in chiaro, ed

allora sto tentando (con nessun successo) di realizzare una connessione su ssl. 


Schematicamente questa è la situazione


server ldap master con indirizzo ip 192.168.1.2 
server ldap client con indirizzo ip 192.168.1.3


su entrambe le macchine ho generato i certificati auto-firmati con il seguente
comando:

openssl req -new -x509 -nodes -out /etc/ssl/ldap-cert.pem -keyout
/etc/openldap/ssl/ldap-key.pem -days 3650

ed ho copiato il certificato generato reciprocamente sulle macchine
rinominandolo ldap-cert-client.pem su entrambe



###############   CONFIGURAZIONE DEL SERVER MASTER-----FILE
/etc/openldap/slapd.conf


include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/samba.schema


pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

#####TLS Option aggiunte
TLSCertificateFile /etc/ssl/ldap-cert.pem ### certificato del server-master

TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem 
TLSCACertificateFile /etc/ssl/ldap-cert-client.pem ##### certificato del

server-client
TLSVerifyClient  demand

log level 296

database        ldbm
replogfile /var/lib/ldap/openldap-master-replog

                   
	####Indirizzo ip server-client  
replica uri=ldaps://192.168.1.3:636 binddn="cn=Manager,dc=unipa,dc=it"

bindmethod=simple credentials=test

suffix 		"dc=unipa,dc=it" 
rootdn		"cn=Manager,dc=unipa,dc=it"

rootpw  test
directory       /var/lib/ldap

index objectClass                               eq
index uid,uidNumber,gidNumber,memberUid         eq
index cn,mail,surname,givenname                 eq,subinitial
index sambaSid                                  eq
index sambaPrimaryGroupSID                      eq
index sambaDomainName                           eq

sizelimit -1
cachesize 10000




###############   CONFIGURAZIONE DEL SERVER MASTER----FILE 
/etc/openldap/ldap.conf

BASE dc=unipa,dc=it
URI ldaps://192.168.1.3:636/ ####Indirizzo ip server-client

TLS_CERT /etc/ssl/ldap-cert.pem          ###certificato del server-master
TLS_CACERT /etc/ssl/ldap-cert-client.pem #####certificato del server-clientt





###############   CONFIGURAZIONE DEL SERVER CLIENT-----FILE
/etc/openldap/slapd.conf



include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/sendmail.schema
include         /etc/openldap/schema/samba.schema
#include         /etc/openldap/schema/RADIUS-LDAPv3.schema


pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

database        ldbm
sizelimit       -1
cachesize       50000
dbcachesize     268435456
mode            0600

suffix          "dc=unipa,dc=it"
rootdn          "cn=Manager,dc=unipa,dc=it"
rootpw  test


TLSCertificateFile /etc/ssl/ldap-cert.pem           ###certificato del client
TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem
TLSCACertificateFile /etc/ssl/ldap-cert-client.pem  #####certificato del master
updatedn        "cn=Manager,dc=unipa,dc=it"
updateref       ldaps://192.168.1.2:636

directory       /var/lib/ldap/studenti
index   objectClass                             eq,pres
index   ou,cn,mail,surname,givenname            eq,pres,sub
index   uidNumber,gidNumber,loginShell          eq,pres
index   uid,memberUid                           eq,pres,sub
index   sambaSid                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq





###############   CONFIGURAZIONE DEL SERVER CLIENT-----FILE
/etc/openldap/ldap.conf

URI ldaps://192.168.1.2:636
URI ldap://127.0.0.1/
BASE dc=unipa,dc=it
TLS_REQCERT demand
TLS_CERT /etc/ssl/ldap-cert.pem ###certificato del cliet
TLS_CACERT /etc/ssl/ldap-cert-client.pem #####certificato del master


sul client che dovrebbe ricevere l'aggiornamento, quando riavvio il servizio
su master, ricevo il seguente messagio di log



Jan 31 12:28:04 s...@192.168.1.3 slapd[14503]: conn=9 fd=21 ACCEPT from
IP=192.168.1.2:36703 (IP=0.0.0.0:636)
Jan 31 12:28:04 s...@192.168.1.3 slapd[14503]: conn=9 fd=21 closed (TLS
negotiation failure)



Dove sbaglio, sono disperato

Garzi in anticipo per qualsiasi suggerimento
Luigi Augello




_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap






Ing. Pierangelo Masarati
OpenLDAP Core Team

SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office:  +39 02 23998309
Mobile:  +39 333 4963172
Fax:     +39 0382 476497
Email:   a...@sys-net.it
-----------------------------------

_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
























					Rispondere a