[Comm] OpenLDAP и SSL

[Dmitry Lebkov]

On Sat, 19 Apr 2003 14:53:48 +1300
Alexey Borovskoy <alexey_borovskoy на pochtamt.ru> wrote:

> Добрый день.
> 
> Не получается подружить openldap с openssl.
> Без ssl ldap работает нормально. 
> 
> Дано:
> openldap-servers-2.0.27-alt5
> openldap-2.0.27-alt5
> openssl-0.9.6i-alt3
> 
> 1. Генерю сертификат с помощью
> openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem
> 
> cn прописываю как server.intranet. В DNS все нормально.

Имя 'server.intranet' присутствует в ДНС? И в обратной зоне?
cn в сертификате должно совпадать с DNS-именем, соответствущем
ip-адресу, на котором слушает LDAP-сервер. 

> 2. Получившийся сертификат кладу в /etc/openldap/
> 
> 3. В /etc/openldap/slapd.conf раскоментирую строчки
>  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
>  TLSCertificateFile      /etc/openldap/ldap.pem
>  TLSCertificateKeyFile   /etc/openldap/ldap.pem
>  TLSCACertificateFile    /etc/openldap/ldap.pem
> 
> 4. Делаю service ldap start
> 
> 5. Делаю netstat -tl
> tcp        0      0 server.intranet:ldaps   *:*     LISTEN
> 
> 6. Коннекчусь GQ, прописываю пароль rootdn и получаю ошибку
> Can't contact LDAP server

GQ использует TLS. Т.е. тебе в конфиге надо указать порт 389
и поствить галку 'Enable TLS'.

У меня так (через TLS на 389 порту) работает 3 сервера (мастер
и две реплики), GQ, nss_ldap и Courier-IMAP.

Вот ... %)

-- 
WBR, Dmitry Lebkov