|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> программы
—> LDAP+SSL
Настройка безопасного соединения с LDAP
Автор: fr33man.
Передавать информацию в незашированном виде не очень безопасно, особенно если какой-нить восьмиклассник сидит за компом, в соседнем кабинете
с включенным etheral. ;))) Именно по этой причине я решил настроить SSL.
Генерируем сертефикаты:
spider# cd /usr/local/etc/openldap/
# Создаем папку, где будут храниться сертефикаты.
spider# mkdir ssl
spider# cd ssl
# Создаем скриптик для генерации сертефикатов
spider# cat > gen.sh
openssl genrsa -out ldap.key 1024
openssl req -new -key ldap.key -out ldap.csr
openssl genrsa -des3 -out ca.key 2048
openssl req -new -x509 -days 365 -key ca.key -out ca.cert
openssl x509 -req -in ldap.csr -out ldap.cert -CA ca.cert \
-CAkey ca.key -CAcreateserial -days 365
# Генерируем
spider# sh gen.sh
Generating RSA private key, 1024 bit long modulus
.......++++++
.....................................++++++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Licei1523
Organizational Unit Name (eg, section) []:
# ВНИМАНИЕ!!! Здесь введите имя сервера, по
# которому к нему будут обращаться клиенты
Common Name (eg, YOUR name) []:spider.teachers
Email Address []:root@mail.teachers
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:Generating RSA private key,
2048 bit long modulus
..........+++
.................+++
e is 65537 (0x10001)
# Вводим пароль
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Licei1523
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:spider.teachers
Email Address []:root@mail.teachers
Signature ok
subject=/C=RU/ST=Moscow/L=Moscow/O=Licei1523/CN=
spider.teachers/emailAddress=root@mail.teachers
Getting CA Private Key
Enter pass phrase for ca.key:
spider# ls -la
total 16
drwxr-xr-x 2 root wheel 512 Oct 1 20:42 .
drwxr-xr-x 4 root wheel 512 Oct 1 15:31 ..
-rw-r--r-- 1 root wheel 1598 Oct 1 20:42 ca.cert
-rw-r--r-- 1 root wheel 1751 Oct 1 20:42 ca.key
-rw-r--r-- 1 root wheel 274 Oct 1 20:41 gen.sh
-rw-r--r-- 1 root wheel 1094 Oct 1 20:42 ldap.cert
-rw-r--r-- 1 root wheel 684 Oct 1 20:42 ldap.csr
-rw-r--r-- 1 root wheel 891 Oct 1 20:41 ldap.key
spider#
| Сгенерировали. Теперь рихтанем slapd.conf, добавив туда следующие директивы:
# Путь к сертефикату
TLSCertificateFile /usr/local/etc/openldap/ssl/ldap.cert
# Путь к ключу
TLSCertificateKeyFile /usr/local/etc/openldap/ssl/ldap.key
# Путь к доверенному сертефикату
TLSCACertificateFile /usr/local/etc/openldap/ssl/ca.cert
| И еще отредактируем /etc/rc.conf, изменяем slapd_flags:
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldaps://0.0.0.0/"'
| Теперь соединиться с LDAP сервером можно только по защищенному соединению(ldaps).
Все, теперь можно перезапускать slapd:
spider# /etc/rc.d/slapd restart
Stopping slapd.
Starting slapd.
spider#
| Давайте попробуем поискать информацию в LDAP:
spider# ldapsearch -LLL -x -b 'dc=l1523,dc=ru' \
? -H ldaps://spider.teachers/ 'uid=fr33man'
ldap_bind: Can't contact LDAP server (-1)
additional info: error:14090086:SSL routines:
SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
spider#
| Не прокатило... Я долго с этим мучался, пока не добавил в /usr/local/etc/openldap/ldap.conf параметр:
Который разрешает принимать самоподписанные сертефикаты. Пробуем искать:
spider# ldapsearch -LLL -x -b 'dc=l1523,dc=ru' \
? -H ldaps://spider.teachers/ 'uid=fr33man'
dn: cn=fr33man,ou=users,dc=l1523,dc=ru
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: qmailUser
objectClass: sambaSamAccount
cn: fr33man
uid: fr33man
uidNumber: 5001
gidNumber: 0
gecos: Vasiliy Ozerov
homeDirectory: /home/fr33man
loginShell: /usr/local/bin/bash
mailMessageStore: /var/spool/mail/fr33man/
mailAlternateAddress: root@mail.teachers
mail: fr33man@mail.teachers
sambaSID: S-1-5-21-3499699245-1344799222-3934724855-11002
sambaPrimaryGroupSID: S-1-5-21-3499699245-1344799222-3934724855-1001
sambaPwdCanChange: 1158863819
sambaPwdMustChange: 2147483647
sambaPasswordHistory: 000000000000000000000000000000000000000
0000000000000000000000000
sambaPwdLastSet: 1158863819
sambaAcctFlags: [U ]
sn:: 0J7Qt9C10YDQvtCyINCSLiDQmC4=
displayName:: 0J7Qt9C10YDQvtCyINCSLiDQmC4=
spider#
| Все получилось.
На этом все, скажу только, что организовать SSL можно было еще и с помощью stunnel.
Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?t=2812.
размещено: 2006-11-08,
последнее обновление: 2006-11-08,
автор: fr33man
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash
Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT
Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3
Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
|
Статистика сайта
|
Сейчас на сайте находится: 19 чел.
|
За последние 30 мин было: 85 человек
|
За сегодня было 1196 показов, 334 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
|
Комментарии пользователей [6 шт.]