1) non usare certificati self-signed: sono inutile
2) che cosa hai usato come common name nei certificati? Ricordati che
deve corrispondere al nome dell'host come risolto da "hostname" e da
"host" sulla rispettiva macchina.
Ciao, p.
Luigi Augello wrote:
Salve
Non so più dove sbattere la testa, sono novizio nell'utilizzo di Openldap,
utilizzo CentOS 5.2 e devo realizzare la sincronizzazione fra due database.
Funziona benissimo, però, cosa disdicevole, il traffico viaggia in chiaro, ed
allora sto tentando (con nessun successo) di realizzare una connessione su ssl.
Schematicamente questa è la situazione
server ldap master con indirizzo ip 192.168.1.2
server ldap client con indirizzo ip 192.168.1.3
su entrambe le macchine ho generato i certificati auto-firmati con il seguente
comando:
openssl req -new -x509 -nodes -out /etc/ssl/ldap-cert.pem -keyout
/etc/openldap/ssl/ldap-key.pem -days 3650
ed ho copiato il certificato generato reciprocamente sulle macchine
rinominandolo ldap-cert-client.pem su entrambe
############### CONFIGURAZIONE DEL SERVER MASTER-----FILE
/etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
#####TLS Option aggiunte
TLSCertificateFile /etc/ssl/ldap-cert.pem ### certificato del server-master
TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem
TLSCACertificateFile /etc/ssl/ldap-cert-client.pem ##### certificato del
server-client
TLSVerifyClient demand
log level 296
database ldbm
replogfile /var/lib/ldap/openldap-master-replog
####Indirizzo ip server-client
replica uri=ldaps://192.168.1.3:636 binddn="cn=Manager,dc=unipa,dc=it"
bindmethod=simple credentials=test
suffix "dc=unipa,dc=it"
rootdn "cn=Manager,dc=unipa,dc=it"
rootpw test
directory /var/lib/ldap
index objectClass eq
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSid eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
sizelimit -1
cachesize 10000
############### CONFIGURAZIONE DEL SERVER MASTER----FILE
/etc/openldap/ldap.conf
BASE dc=unipa,dc=it
URI ldaps://192.168.1.3:636/ ####Indirizzo ip server-client
TLS_CERT /etc/ssl/ldap-cert.pem ###certificato del server-master
TLS_CACERT /etc/ssl/ldap-cert-client.pem #####certificato del server-clientt
############### CONFIGURAZIONE DEL SERVER CLIENT-----FILE
/etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/sendmail.schema
include /etc/openldap/schema/samba.schema
#include /etc/openldap/schema/RADIUS-LDAPv3.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
database ldbm
sizelimit -1
cachesize 50000
dbcachesize 268435456
mode 0600
suffix "dc=unipa,dc=it"
rootdn "cn=Manager,dc=unipa,dc=it"
rootpw test
TLSCertificateFile /etc/ssl/ldap-cert.pem ###certificato del client
TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem
TLSCACertificateFile /etc/ssl/ldap-cert-client.pem #####certificato del master
updatedn "cn=Manager,dc=unipa,dc=it"
updateref ldaps://192.168.1.2:636
directory /var/lib/ldap/studenti
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index sambaSid eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
############### CONFIGURAZIONE DEL SERVER CLIENT-----FILE
/etc/openldap/ldap.conf
URI ldaps://192.168.1.2:636
URI ldap://127.0.0.1/
BASE dc=unipa,dc=it
TLS_REQCERT demand
TLS_CERT /etc/ssl/ldap-cert.pem ###certificato del cliet
TLS_CACERT /etc/ssl/ldap-cert-client.pem #####certificato del master
sul client che dovrebbe ricevere l'aggiornamento, quando riavvio il servizio
su master, ricevo il seguente messagio di log
Jan 31 12:28:04 s...@192.168.1.3 slapd[14503]: conn=9 fd=21 ACCEPT from
IP=192.168.1.2:36703 (IP=0.0.0.0:636)
Jan 31 12:28:04 s...@192.168.1.3 slapd[14503]: conn=9 fd=21 closed (TLS
negotiation failure)
Dove sbaglio, sono disperato
Garzi in anticipo per qualsiasi suggerimento
Luigi Augello
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Fax: +39 0382 476497
Email: a...@sys-net.it
-----------------------------------
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap