Hallo,
ich habe eine Verständnisfrage zu OpenLDAP und Replikation.
In der "einfachsten" Form nutze ich als Replikation syncrepl als Overlay (Provider - Consumer bzw. Master - Slave).
Dies funktioniert soweit auch. Auf dem Provider (Master) erlaube ich alledings auch den Zugriff per TLS/SSL. Die Clients besitzen demnach die entsprechenden Zertifikate (und Keys). Auf den Client muss ich in der ldap.conf, pam_ldap.conf und libnss-ldap.conf als uri die Adressen vom Provider und Consumer eintragen (ebenso die /etc/hosts), damit bei Ausfall des Providers diese noch auf den Consumer zugreifen können. So gewährleiste ich, dass sich die User noch immer an Systemen mit ihrem Login anmelden können.
Ist des bei diesem Szenario überhaupt möglich, dass ich den Client-Zugriff auf den Consume (Slave) ebenfalls per Zertifikate gestatte?
Ich müsste doch dann auch dessen Zeritifikate und Keys zusätzlich neben denen vom Provider (Master) auf den Clients angeben. Nur wie?
OpenLDAP + Replikation + TLS/SSL
OpenLDAP + Replikation + TLS/SSL
Oh, yeah!
-
Cologne4711
- Beiträge: 260
- Registriert: 04.12.2006 11:37:59
Re: OpenLDAP + Replikation + TLS/SSL
Hallo,
ich habe dafür eine eigene CACERT erstellt, die auf den Servern und Clients identisch ist. Die CACERT enthält für jeden Server einen Eintrag der durch den FQDN (Voll qualifizierter Domänenname) eindeutig ist.
In der /etc/ldap/ldap.conf gibt es dann die folgenden Einträge:
TLS_CACERT /etc/ssl/certs/cacert.pem
TLS_REQCERT demand
Der Zugriff erfolgt dann über den FQDN
/usr/bin/ldapsearch -x -W -D cn=ldapadmin,dc=local -H ldaps://HOST.DOMAIN uid=XXX
MfG
ich habe dafür eine eigene CACERT erstellt, die auf den Servern und Clients identisch ist. Die CACERT enthält für jeden Server einen Eintrag der durch den FQDN (Voll qualifizierter Domänenname) eindeutig ist.
In der /etc/ldap/ldap.conf gibt es dann die folgenden Einträge:
TLS_CACERT /etc/ssl/certs/cacert.pem
TLS_REQCERT demand
Der Zugriff erfolgt dann über den FQDN
/usr/bin/ldapsearch -x -W -D cn=ldapadmin,dc=local -H ldaps://HOST.DOMAIN uid=XXX
MfG
Re: OpenLDAP + Replikation + TLS/SSL
Danke. Wie meinst du das mit der CA?Cologne4711 hat geschrieben: ich habe dafür eine eigene CACERT erstellt, die auf den Servern und Clients identisch ist. Die CACERT enthält für jeden Server einen Eintrag der durch den FQDN (Voll qualifizierter Domänenname) eindeutig ist.
Du hast bei der Erstellung der CA beim Punkt Common Name eine Liste (getrennt durch Komma) mit allen Servern angegeben (Sprich vom Master und vom Slave)?
Oh, yeah!
-
Cologne4711
- Beiträge: 260
- Registriert: 04.12.2006 11:37:59
Re: OpenLDAP + Replikation + TLS/SSL
Nein, die CA hat einen beliebigen Namen. Ich habe für jeden Server ein Zertifikat erzeugt, dass gegenüber der CA signiert wird.Du hast bei der Erstellung der CA beim Punkt Common Name eine Liste (getrennt durch Komma) mit allen Servern angegeben (Sprich vom Master und vom Slave)?
Die folgende Anleitung von mir sollte noch OK sein.
http://debianforum.de/forum/viewtopic.p ... t=ldap+ssl
MfG