Ubuntu+Ldap+SSL

Question

Ubuntu+Ldap+SSL

RiP3r 12 abr 2006 01:05

Adicto

390 mensajes
desde ene 2006
en Por el Sur ando

Vereis utilizo ubuntu y necesito montar un servidor ldap con ssl, hasta aqui todo sencillo direis el problema viene al necesitarlo con ssl ya que creo (corregirme sino es cierto) que no me sirve instalar slapd desde apt o aptitude ya que tengo que compilarlo para ssl, pues bien si descargo de la pagina oficial el tar.gz de openldap al hacer por este orden: configure --enable-ssl, make depend y make, en el ultimo make me indica error 1 y no logro instalarlo. Si alguien sabe como hacerlo me seria de gran ayuda, gracias de antemano.

7 respuestas

Answer 1 · 2006-04-12T09:36:33+00:00

Usa los paquetes de tu distribucion. El necesitar TLS/SSL no es problema.

- ferdy

[ sin acentos, navegador arcaico ]

Answer 2 · 2006-04-12T10:09:47+00:00

Gracias ferdy por la aclaracion entonces me surge la duda de como debo configurar el cliente ldap a la hora de generarle los certificados, os comento lo que hago para generar los certificados del servidor:

sh /usr/lib/ssl/misc/CA.sh -newca
openssl req -new -nodes -keyout newreq.pem -out newreq.pem
sh /usr/lib/ssl/misc/CA.sh -sign
cp demoCA/cacert.pem /etc/ldap/cacert.pem
cp newcert.pem /etc/ldap/servercrt.pem
cp newreq.pem /etc/ldap/serverkey.pem
chmod 600 /etc/ldap/serverkey.pem

Como veis lo que hago es generar el certificado de autoridad, la clave del servidor y el certificado del servidor autentificandolos con el certificado previamente creado y los copia en la carpeta ldap dandole permiso de lectura escritura solo al propietario.

Luego edito el fichero slapd.conf añadiendole:

TLSCACertificateFile /etc/ldap/cacert.pem
   TLSCertificateFile /etc/ldap/servercrt.pem
   TLSCertificateKeyFile /etc/ldap/serverkey.pem
   loglevel   256

Hasta aqui creo que hago bien la configuracion del servidor, por ultimo en el cliente le añado en ldap.conf

TLS_REQCERT allow

Weno pues ya puedo hacer consultas mediante ldapsearch hacia el servidor seguro solo que zope me indica que algo falla ya que no encuentra los certificados del cliente. ¿Deberia de generarle al cliente sus certificados y indicarles donde estan? ¿Serian los mismos que los del servidor?, Gracias y perdonar por el tochazo.

Answer 3 · 2006-04-12T10:26:02+00:00

Si, necesitas certificados en el cliente. Y lo mejor es que los firmes con el certificado de la CA que has creado.

Te dejo un par de referencias a artículos que te vendrán muy bien:

http://www.davidpashley.com/articles/cert-authority.html
http://www.davidpashley.com/articles/ldap-basics.html

- ferdy

Answer 4 · 2006-04-12T10:53:15+00:00

Entonces para crear los certificados del cliente vuelvo a ejecutar (si me equivoco corrigeme por favor):

openssl req -new -nodes -keyout newreq.pem -out newreq.pem
sh /usr/lib/ssl/misc/CA.sh -sign

Tendria otros dos certificados identicos a los del servidor ya que uso el mismo certificado de autoridad, ¿es cierto?, entonces ¿No me sirven los del servidor para el cliente tambien?.

Answer 5 · 2006-04-12T11:23:15+00:00

Claro que no te sirven, los certificados identifican UNA y solo UNA máquina.

- ferdy

Answer 6 · 2006-04-12T11:46:25+00:00

Ok ferdy una ultima cuestion a la hora de crear los certificados en el servidor cuando me preguntan cn pongo el mismo dominio que tengo en el servidor ldap, pero a la hora de crear los certificados para el cliente cuando me pregunte el cn le introduzco cualquiera menos el mismo que utilize el servidor ldap ¿estoy en lo cierto? ya que he probado ha introducir el mismo y no me crea el certificado.

Answer 7 · 2006-04-12T11:47:33+00:00

Ferdy 12 abr 2006 12:47

/dev/annoying

4.370 mensajes
desde abr 2003

Página web de Ferdy

Claro, pones el nombre de la máquina cliente.

- ferdy