Unterschiede zwischen den Revisionen 2 und 3
Revision 2 vom 2005-04-12 18:29:02
Größe: 1438
Autor: anonym
Kommentar:
Revision 3 vom 2012-06-13 21:26:27
Größe: 1440
Autor: anonym
Kommentar: converted to 1.6 markup
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen ''[http://debian.org debian]''-Pakete aktiviert. Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen ''[[http://debian.org|debian]]''-Pakete aktiviert.

Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen debian-Pakete aktiviert.

In diesen Fällen verzichteten wir auf die Verschlüsselung, um den Administrationsaufwand gering zu halten. Eigentlich ist es auch wieder nur eine Spielerei der Paranoiden ...

TLS/SSL

  • dafür brauchen wir ein Zertifikat für den Server (in diesem Fall mit dem Servernamen ldap, da er nur intern verwendet wird)

  • das öffentliche Zertifikat sollte unter /data/certs/ldap-cert.pem abgelegt werden

  • die Schlüssel-Datei sollte /data/certs/ldap-key.pem heißen

  • außerdem ist das Zertifikat der CA nötig: /data/certs/sao-CA-cacert.pem

  • in die /etc/ldap/slapd.conf gehören somit folgende Optionen: 

    TLSCACertificateFile /data/certs/sao-CA-cacert.pem
TLSCertificateFile /data/certs/ldap-cert.pem
TLSCertificateKeyFile /data/certs/ldap-key.pem

  • in die /etc/default/slapd gehört nun die folgende Zeile: 

    SLAPD_SERVICES="ldap:/// ldaps:///"

  • die /etc/ldap/ldap.conf und /root/.ldaprc sollte nun ldaps:// anstelle von ldap:// verwenden

  • ausprobieren mit 

    ldapsearch -x

LdapVerschlüsselung (zuletzt geändert am 2012-06-13 21:26:27 durch anonym)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.