LDAP-TLS, pamldap.conf

Ubuntu Linux

Van egy szépen működő LDAP-szerverem, amely hitelesítí a gépre bejelentekző népet, és egy másik linux szerver is innen hitelesít. Sőt, az LDAP szerver hitelesíti a gépen futó szamba és a hozzá kapcsolódó tartomány usereit is.
Ma az alábbi link 5.1 fejezete alapján
http://66.102.9.104/search?q=cache:VX3I2pOcp4kJ:samba.idealx.org/smblda…
nekiugrottam TLS-szel felvértezni az LDAP-ot.
Végigcsinálva az ott leírtakat az előállított kulcsfileokkal remekül indul a slapd.
De:
a) hogyan kell beállítanom az /etc/ldap/slapd.conf-ot, hogy ezek utn csak TLS-es kapcsolatokkal foglalkozzék az LDAP-szerver
b) hogy kell beállítani az /etc/pam_ldap.conf -ot, hogy partner legyen a TLS kapcsolat kiépítésében?

rendszer: Ubuntu 6.06

  • 1181 megtekintés

( x-daemon | 2006. 08. 25., p – 13:53 )

slapd szerver:
/etc/default/slapd:
SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"

/etc/ldap/slapd.conf:
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/ldap/DOMAIN-cacert.pem
TLSCertificateFile /etc/ldap/ldap-szerver.domain.hu-cert.pem
TLSCertificateKeyFile /etc/ldap/ldap-szerver.domain.hu-key.pem
TLSVerifyClient never

ldap kliens:
/etc/ldap/ldap.conf:
BASE dc=domain,dc=hu
URI ldaps://ldap-server.domain.hu
TLS_CACERT /etc/ldap/DOMAIN-cacert.pem

/etc/pam_ldap.conf:
base dc=domain,dc=hu
uri ldaps://ldap-server.domain.hu/
TLS_CACERT /etc/ldap/DOMAIN-cacert.pem

köszönöm az eddigieket, és bocsi a késői válaszért.
sajna egyenlőre nem megyen, úgyhogy:

a) a módosítások után az ldap server simán azonosít mindenféle titkosítás nélkül.
b) ez most TLS, vagy SSL? ha jól gombolom, akkor SSL, ami nem volna baj, ha működne, de a default/slapd módosítása ellenére sem indul el a hallgatózás az ldaps porton:
root:# nmap localhost -p636
Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-08-28 11:25 CEST
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
636/tcp closed ldapssl
c) lehet, hogy csak ezért, de a pam_ldap módosítása után 'cannot rerieve atuh info' jön a bejelentkezési kísérletekre, amik így sikertelenek.

Szóval most mit tegyen az ember?

conf-ok:
----/etc/default/slapd
SLAPD_CONF=
SLAPD_USER=
SLAPD_GROUP=
SLAPD_PIDFILE=
TRY_BDB_RECOVERY=yes
SLURPD_START=auto
SLAD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"
SLAPD_OPTIONS=""
SLURPD_OPTIONS=""
-----
-----
-----/etc/ldap/slapd.conf
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/misc.schema
schemacheck on
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd.args
loglevel 256
modulepath /usr/lib/ldap
moduleload back_bdb
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCertificateFile /etc/ldap/ldap.idealx.com.pem
TLSCertificateKeyFile /etc/ldap/ldap.idealx.com.key
TLSCACertificateFile /etc/ldap/ca.pem
TLSVerifyClient never
backend bdb
checkpoint 512 30
database bdb
suffix "dc=akarmi,dc=hu"
rootdn "cn=admin,dc=akarmi,dc=hu"
rootpw titkos
directory "/var/lib/ldap"
sizelimit 10000
lastmod on
access to attrs=userPassword
by dn="cn=admin,dc=akarmi,dc=hu" write
by anonymous auth
by self write
by * none
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=admin,dc=akarmi,dc=hu" write
by anonymous auth
by self write
by * none
access to dn="dc=akarmi,dc=hu"
by self write
by * read
access to dn.base="" by * read
access to *
by dn="cn=admin,dc=akarmi,dc=hu" write
by * read
-----
-----
-----/etc/ldap/ldap.conf
host akarmi.hu
base dc=akarmi,dc=hu
uri ldaps://127.0.0.1/
tls_cacertfile /etc/ldap/ca.pem
-----
-----
-----/etc/pam_ldap.conf
host 127.0.0.1
base dc=akarmi,dc=hu
uri ldaps://127.0.0.1/
ldap_version 3
rootbinddn cn=admin,dc=akarmi,dc=hu
pam_password crypt
TLS_CACERT /etc/ldap/ca.pem