Волгоград Linux User Group |
|
Организована 23 ноября 2002 года
Проект заморожен Птн Июл 6 02:11:14 MSD 2012 |
|
|
Будь проклят тот день, когда я сел за руль этого автомобиля. :)
Чего нужно
ВАЖНО У меня есть машина sigma2 в домене mf.volsu.ru, так вот результат команды Должен быть таким Генерация сертификатовВ /var/lib/ssl/misc лежит перловый скрипт CA.pl для генерации сертификатов, последовательность команд следующая Как это выглядит Важно Вверху делали nslookup sigma2.mf.volsu.ru, так вот в Common Name у вас должно стоять тоже самое и slapd должен висеть на том Результат: Получаем директорию demoCA в нем нам нужен будет файл cacert.pem Как это выглядит Важно Повторяется история с Common Name Результат: Получаем newreq.pem. Как это выглядит Результат: Подписываем newreq.pem, используя demoCA, и получаем newcert.pem Можно еще и с правами помутить. Ну это на ваше усмотрение, но коли упрут сертификаты, будет плохо. Прячем папку На сервереИзменения в slapd.conf= Надо добавить следующие строкиБудьте внимательны и не перепутайте, где чего надо прописать, а то при service slapd start, slapd просто не будет запускаться. На сервере. Изменения в ldap.conf из пакета openldapНадо внести следующую строчку в /etc/openldap/ldap.confИ изменить ldap на ldaps в URI. Проверка работостособностиВыполняем. Результат должен быть приблизительно следующим На клиентеГенерация сертификатов для клиентаСертификаты генерируются на сервере. Процесс схож с тем, что мы уже проделывали, но есть мелкие отличия. :) Хотелось бы заметить, что в графе Common Name должен стоять FQDN (полное доменное имя) клиента, типа (admin.mf.volsu.ru). Теперь берем newreqclient.pem newcertclient.pem cacert.pem и переносим изх на клиент. Создаем на клиенте /etc/openldap/certs И Изменения в ldap.conf из пакета nss_ldapВ ldap.conf из nss_ldap лежащем в /etcИзменения в ldap.conf тот что в /etc/openldapВроде все работает. :) |
|
Powered by
|