1438
Kommentar:
|
← Revision 3 vom 2012-06-13 21:26:27 ⇥
1440
converted to 1.6 markup
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 1: | Zeile 1: |
Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen ''[http://debian.org debian]''-Pakete aktiviert. | Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen ''[[http://debian.org|debian]]''-Pakete aktiviert. |
Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen debian-Pakete aktiviert.
In diesen Fällen verzichteten wir auf die Verschlüsselung, um den Administrationsaufwand gering zu halten. Eigentlich ist es auch wieder nur eine Spielerei der Paranoiden ...
TLS/SSL
dafür brauchen wir ein Zertifikat für den Server (in diesem Fall mit dem Servernamen ldap, da er nur intern verwendet wird)
das öffentliche Zertifikat sollte unter /data/certs/ldap-cert.pem abgelegt werden
die Schlüssel-Datei sollte /data/certs/ldap-key.pem heißen
außerdem ist das Zertifikat der CA nötig: /data/certs/sao-CA-cacert.pem
in die /etc/ldap/slapd.conf gehören somit folgende Optionen:
TLSCACertificateFile /data/certs/sao-CA-cacert.pem TLSCertificateFile /data/certs/ldap-cert.pem TLSCertificateKeyFile /data/certs/ldap-key.pem
in die /etc/default/slapd gehört nun die folgende Zeile:
SLAPD_SERVICES="ldap:/// ldaps:///"
die /etc/ldap/ldap.conf und /root/.ldaprc sollte nun ldaps:// anstelle von ldap:// verwenden
ausprobieren mit
ldapsearch -x