[sisyphus] LDAP грабли

Dmitry Lebkov =?iso-8859-1?q?dima_=CE=C1_sakhalin=2Eru?=
Чт Янв 6 18:40:20 MSK 2005


Artem wrote:
> 
>>
>> А права на чтение этого файла у клиента есть?
> 
> 
> Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
> Но все равно спасибо.
> 
>> А в конфиге slapd.conf логгинг включен? А syslog знает
>> куда складывать логи от slapd?
>>
> Значит, придется вправлять мозги syslog

Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое

local4.* /var/log/ldap/all

и в /etc/openldap/slapd.conf например

loglevel 256

получишь логи соединений и обработки запросов.

> Небольшое уточнение напоследок. При проверке сертификата ldap-сервера 
> запрашивается CN владельца сертификата - т.е. делается reverse dns - чей 
> именно CN запрашивается в случае с LDAP ?  СA ? Или самого LDAP - 
> сервера? Или оба проверяются? Или это делается только в случае, когда 
> соединение осуществляется по ip , а не по dns - адресу ?

Проверяется соответствие IP<->FQDN для сервера, если я правильно помню
документацию к OpenSSL ...


--
WBR, Dmitry Lebkov



Подробная информация о списке рассылки Sisyphus