Michele Codutti wrote: > Ciao a tutti mi sto scervellando per trovare una soluzione ottimale per > imporre connessioni cifrate di tipo tls o ssl per il servizio ldap. > Qualche mese fa ho postato una mail chiedendo come poter imporre questa > cosa tramite la configurazione del demone ldap. Il risultato è una serie > di ACL che devono essere utilizzate da slapd in cui bisogna specificare > delle socket sulle quali il demone è in ascolto ed in più bisogna > aggiungere quelle socket al parametro -h all'avvio del demone. > Tutto è documentato a questo indirizzo: > http://www.sys-net.it/pipermail/openldap/2007-September/000736.html > Ora, nella mia configurazione vorrei gestire slapd con heartbeat e per > questo motivo gli indirizzi ip potrebbero non essere fissati a priori e > migrare sulle macchine del cluster (a causa dei come vangono gestite le > risorse da heartbeat). Il problema è che con le ACL devo sapere a priori > l'indirizzo dell'interfaccia su cui voglio mettere slapd in ascolto > altrimenti non parte. Ho provato ad inserire uno strato di software in > più che si occupi solo della crittografia in modo da separare l'ssl/tls > dal servizio ldap. L'unico software che io conosca che possa fare una > cosa del genere è stunnel <http://stunnel.mirt.net/>, il quale è capace > di instaurare delle connessioni ssl/tls rimandndo in ascolto su una > porta e redirigere il traffico non crittografato verso un altra > porta/indirizzo. > Stunnel funziona bene con ssl ma non va con tls. > Qualcuno ha mai provato l'accoppiata openldap+stunnel? > Qualcuno è mai riuscito a far funzionare il tls con stunnel?
Se il problema e' avere ACL basate su gruppi di IP, puoi usare la forma con netmask, in modo che IP con le stesse prerogative siano selezionabili a gruppi in questo modo. Per dettagli, slapd.access(5). Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it --------------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Email: [EMAIL PROTECTED] ---------------------------------------
_______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap