[sisyphus] LDAP через SSL, использование для AAA.
Peter V. Saveliev
=?iso-8859-1?q?peet_=CE=C1_eltel=2Enet?=
Вт Янв 7 16:07:17 MSK 2003
...
Всем привет!
Настроил хождение LDAP через SSL, теперь происходит странное:
[peet на kehlisaari peet]$ sudo su -
Password:
Broken pipe
[peet на kehlisaari peet]$ sudo su -
[root на kehlisaari root]#
Повторяемость - 100% при вводе пароля (после таймаута). В /var/log/secure:
Jan 7 15:27:21 kehlisaari sudo: peet : TTY=pts/4 ; PWD=/home/peet ; USER=root ; COMMAND=/bin/su -
Jan 7 15:27:21 kehlisaari (__progname="sudo" uid=0 euid=0): nss_ldap: reconnecting to LDAP server...
Jan 7 15:27:21 kehlisaari : nss_ldap: reconnected to LDAP server after 1 attempt(s)
Все это происходит на всех машинах, использующих LDAPS в качестве
AAA-сервера.
sudo-1.6.6-alt4
nss_ldap-202-alt2
openldap-clients-2.0.27-alt3
libldap-2.0.27-alt3
openldap-servers-2.0.27-alt3
openldap-2.0.27-alt3
Без SSL этого не происходило.
8<------- /etc/openldap/slapd.conf ---------------------------------------
...
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCertificateFile /etc/openldap/ssl/server.crt
TLSCertificateKeyFile /etc/openldap/ssl/server.key
TLSCACertificateFile /etc/openssl/sign/ca.crt
...
8<------- /etc/openldap/slapd.conf ---------------------------------------
8<------- /etc/ldap.conf -------------------------------------------------
host ldap.home
uri ldaps://ldap.home/
base dc=kehlisaari,dc=home
rootbinddn cn=proxyuser,dc=kehlisaari,dc=home
scope one
pam_filter objectClass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
pam_template_login_attribute uid
pam_password md5
nss_base_passwd ou=users,dc=kehlisaari,dc=home?one
nss_base_shadow ou=users,dc=kehlisaari,dc=home?one
nss_base_group ou=groups,dc=kehlisaari,dc=home?one
nss_base_hosts ou=hosts,dc=kehlisaari,dc=home?one
tls_checkpeer yes
tls_cacertfile /etc/openssl/sign/ca.crt
tls_ciphers TLSv1
8<------- /etc/ldap.conf -------------------------------------------------
Как обычно: ищу мудрости у коллективного разума рассылки. Вразумите,
пожалуйста, т.к. хотя и работает нормально в остальном, и через SSL
(проверял через tcpdump :), но я не все детали понимаю. Настраивал
интуитивно :)
Вопрос к знатокам: если кто работал с LDAP в качестве AAA-сервера, буду
безумно рад пообсуждать в привате некоторые вопросы "про это" :)) Уж очень
порой интересно. Отзовитесь, pls.
--
Sincerely, Peter V. Saveliev
E-mail: peet на eltel.net
Jabber: peet на jabber.ru
Подробная информация о списке рассылки Sisyphus