[sisyphus] Re: SSH +ldap

Anton Gorlov aka stalker =?iso-8859-1?q?pnz37_=CE=C1_mail=2Eru?=
Пн Апр 18 11:05:36 MSD 2005


Здравствуйте, Michael.

Вы писали 18 апреля 2005 г., 10:29:29:

> On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote:
>> > зря вы боитесь, ldap over tls работает почти везде...
>> Кстати -а чем генерить сертефикат?

> openssl -- кажется, в документации Master 2.4 (см. docs/ в его
> корне на ftp) приводился пример,
Здесь что-то ничего интересного не увидел :-(

>  да и на opennet.ru их было.

Здесь уже увидел что-то похожее на правду
(Samba-full-LDAP-integration-HOWTO.html). Но что-то не понятно, как
скажем сквиду (точнее squid_ldap_auth и squid_ldap_group)
скормить клиентский ключ... В опциях этих модулей ничего про ключ не
нашёл, только "-Z TLS encrypt the LDAP connection"

-
 Файлы необходимые для генерации сертификатов и ключей.
 ldap.cnf
 [ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
C=RU
ST=Russia
L=Linux
O=Linux LDAP
OU=LDAP SSL Key
CN=ldap.ru
emailAddress=admin на ldap.ru

[ cert_type ]
nsCertType = client

slapd.cnf
req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
C=RU
ST=Russia
L=Linux
O=Linux LDAP
OU=LDAP SSL Key
CN=ldap.ru
emailAddress=admin на ldap.ru

[ cert_type ]
nsCertType = server

После создания этих файлов создайте исполняемый файл

mkldapcert
#!/bin/sh
/usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf
-out ldap.pem -keyout ldap.pem

/usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out
 slapd.pem -keyout slapd.pem





-- 
С уважением,
 Anton                          mailto:pnz37 на mail.ru




Подробная информация о списке рассылки Sisyphus