Ich habe 389 Directory Server auf RHEL 5 mit Gruppen, Benutzern, Posix usw. ausgeführt. RHEL-Clients authentifizieren Benutzer mit LDAP - keine Probleme, alles funktioniert einwandfrei, aber Passwörter werden im Klartext gesendet und sind mit dem Netzwerk-Sniffer sichtbar. Also entschied ich mich für SSL:
- CA erstellt - hat sowohl private als auch öffentliche CA-Zertifikate erhalten
- Verwenden von CA-Zertifikaten: Generiert sowohl private als auch öffentliche Zertifikate und kombiniert ( 1. Datei ) für 389DS gemäß 389DS-Zertifikatanforderung, importiert mit CA Public Cert in 389DS von der grafischen Konsole ( 2. Datei ).
- SSL in 389DS aktiviert
- Auf dem Client wurde unter Verwendung von authconfig-gtk aktiviertem SSL für LDAP nur das öffentliche CA-Zertifikat angegeben
Funktioniert nicht
Wie man? Was ist der beste Weg, um sicher zu integrieren?
openssl s_client -connect fqdn.of.the.ldap.server.or.ip:636
. Der Server sollte mit den Zertifikaten antworten. Wenn nicht, liegt ein Problem mit der Konfiguration Ihres Servers vor. Aktualisieren Sie Ihre Frage mit den Ergebnissen.Antworten:
Als erstes möchten Sie möglicherweise überprüfen, ob Ihr Server die Zertifikate ordnungsgemäß präsentiert. Sie können dies tun, indem Sie versuchen, mit OpenSSL eine Verbindung zu Ihrem Server herzustellen. Führen Sie auf einem Clientcomputer mit Zugriff Folgendes aus:
Dies sollte einen schönen Ausdruck des Serverzertifikats zurückgeben. Der Schlüssel hier ist die Überprüfung des am Ende gedruckten "Rückgabecodes überprüfen". Möglicherweise erhalten Sie unterschiedliche Codes, aber im Allgemeinen sollten Sie 0 für ein gültiges Zertifikat und möglicherweise 19 erhalten, wenn Sie sich selbst signieren.
Wenn dies fehlschlägt, gehen Sie zurück und überprüfen Sie, ob Sie Ihre serverseitigen Zertifikate ordnungsgemäß importiert haben.
Wenn Sie diesen Test bestanden haben, fahren Sie mit dem Testen Ihrer TLS-Verbindungen auf der Clientseite fort.
Führen Sie auf einem Clientcomputer aus
Dadurch wird eine LDAP-Suche über eine verschlüsselte Verbindung erzwungen. Wenn dies erfolgreich ist, sollten Sie einige Benutzerinformationen zurückerhalten, und ein Einchecken in die DS-Protokolle sollte Folgendes ergeben:
Wenn dies fehlschlägt, sollten Sie sicherstellen, dass die Zertifikate auf der Clientseite ordnungsgemäß importiert wurden.
Bei der Fehlerbehebung habe ich häufig nach folgenden Bereichen gesucht:
1.) Auf den Clients können Sie in einigen Fällen (die hier von jemandem besser erklärt werden können) versuchen, eine Signatur zu verlangen, indem Sie ldap.conf bearbeiten und die Zeile einschließen
2.) Wenn die Authentifizierungs-GUI Probleme verursacht, können Sie versuchen, TLS für LDAP mit explizit zu aktivieren
Ich hatte zuvor Probleme mit der GUI, daher bleibe ich eher bei der Verwendung von CLI-Befehlen.
3.) Und eine letzte Sache, die Sie versuchen könnten (noch einmal, nur zum Testen), ist anzurufen
Aktualisieren
Wenn Sie weitere Hilfe beim Erstellen von Selbstsignaturzertifikaten suchen, versuchen Sie Folgendes:
1.) Erstellen Sie Ihr eigenes, selbstsigniertes CA-Zertifikat:
2.) Erstellen Sie ein Serverzertifikat für den Verzeichnisserver
3.) Importieren Sie diese beiden Zertifikate in den Verzeichnisserver im Abschnitt "Zertifikate verwalten", der unter "Aufgaben" ausgewählt ist.
4.) Aktivieren Sie die TLS-Verschlüsselung
5.) Erstellen Sie ein exportierbares Zertifikat für Clients und geben Sie es in eine PEM-Datei aus
6.) Laden Sie nach Ihrer Wahl das Client-Zertifikat auf jeden Client herunter.
7.) Bereiten Sie die Zertifikate mit dem zuvor genannten Befehl erneut vor
quelle
Ich hatte kein Glück, SSL für das 389-Verzeichnis oder die Administrationsserver nach den gefundenen Howtos zu konfigurieren (ich dachte, das lag daran, dass ich Centos 6 verwendete und die meisten Howtos speziell auf Redhat abzielten).
Was schließlich für mich funktioniert hat, war, Zertifizierungsanforderungen von den Serverschnittstellen der 389-Konsole (admin | dir) zu initiieren, diese Anforderungen mit einer tinyCA-Installation zu signieren (nur ein Frontend für openssl, ich bin faul), die signierten PEM-Zertifikate und CA zu exportieren Zertifikate und importieren Sie diese mit der 389-Konsole zurück.
389 Konsole -> Servergruppe -> (Administrator / Verzeichnis) Server -> Öffnen -> Zertifikate verwalten
Hoffe das hilft...
quelle
Könnten Sie den folgenden Link verwenden, um RHDS / 389-ds unter SSL einzurichten?
http://lists.fedoraproject.org/pipermail/389-users/2012-March/014200.html
Ich hoffe, das hilft.
quelle