[sisyphus] Re: SSH +ldap
Anton Gorlov aka stalker
=?iso-8859-1?q?pnz37_=CE=C1_mail=2Eru?=
Пн Апр 18 11:05:36 MSD 2005
Здравствуйте, Michael.
Вы писали 18 апреля 2005 г., 10:29:29:
> On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote:
>> > зря вы боитесь, ldap over tls работает почти везде...
>> Кстати -а чем генерить сертефикат?
> openssl -- кажется, в документации Master 2.4 (см. docs/ в его
> корне на ftp) приводился пример,
Здесь что-то ничего интересного не увидел :-(
> да и на opennet.ru их было.
Здесь уже увидел что-то похожее на правду
(Samba-full-LDAP-integration-HOWTO.html). Но что-то не понятно, как
скажем сквиду (точнее squid_ldap_auth и squid_ldap_group)
скормить клиентский ключ... В опциях этих модулей ничего про ключ не
нашёл, только "-Z TLS encrypt the LDAP connection"
-
Файлы необходимые для генерации сертификатов и ключей.
ldap.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
C=RU
ST=Russia
L=Linux
O=Linux LDAP
OU=LDAP SSL Key
CN=ldap.ru
emailAddress=admin на ldap.ru
[ cert_type ]
nsCertType = client
slapd.cnf
req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
C=RU
ST=Russia
L=Linux
O=Linux LDAP
OU=LDAP SSL Key
CN=ldap.ru
emailAddress=admin на ldap.ru
[ cert_type ]
nsCertType = server
После создания этих файлов создайте исполняемый файл
mkldapcert
#!/bin/sh
/usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf
-out ldap.pem -keyout ldap.pem
/usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out
slapd.pem -keyout slapd.pem
--
С уважением,
Anton mailto:pnz37 на mail.ru
Подробная информация о списке рассылки Sisyphus