LDAP kliens SSL

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Bajnokk(AT)niif.hu (vitalap | szerkesztései) 2007. július 5., 10:56-kor történt szerkesztése után volt. (Apache)

A legtöbb esetben az egyetlen feladat, hogy a "megbízható" CA-k adatait megadjuk. Erre sajnos alkalmazásonként más-más módszert kell használni.

OpenSSL

# cd /etc/ssl/certs
# wget http://www.directory.niif.hu/niif_ldap_ca.pem
# ln -s niif_ldap_ca.pem `openssl x509 -hash -in niif_ldap_ca.pem -noout`.0

A legutolsó paranccsal "bízunk meg" az NIIF LDAP CA-ban.

Próba:

$ openssl verify niif_ldap_ca.pem
niif_ca_root_x509.pem: OK

OpenLDAP

Az OpenLDAP-nak vagy felhasználónként a ~/.ldaprc fájlban, vagy a központi konfigurációs állományban adjuk meg a megbízható CA-kat. Ezek pl. itt lehetnek:

  • /etc/ldap/ldap.conf (Debian)
  • /etc/openldap/ldap.conf (RHEL)
  • /usr/local/etc/openldap/ldap.conf (FreeBSD)

Javasolt tartalom:

TLS_CACERTDIR   /etc/ssl/certs
TLS_REQCERT     demand

Próba:

$ ldapsearch -x -H ldaps://directory.iif.hu -b o=niif,c=hu -s base -LLL dn -v
ldap_initialize( ldaps://directory.iif.hu )
filter: (objectclass=*)
requesting: dn
dn: o=NIIF,c=HU

Apache

Ahhoz, hogy a mod_ldap modul SSL-en keresztül tudjon kapcsolódni az LDAP szerverhez, szükség van az LDAPTrustedCA direktíva használatára. Ez a direktíva csak a szerver konfigban értelmezhető, tehát a httpd.conf vagy az apache2.conf-ba kell tenni.

Az Apache 2.2-ben már nincs meg ez a direktíva. A tapasztalat szerint működik az SSL-es LDAP kapcsolat, ha a fenti pontok beállításait (OpenLDAP, OpenSSL) elvégeztük. A megbízható CA-k megadásához az LDAPTrustedGlobalCert direktíva használható.

Az SSL-es LDAP lekérdezést (mindkét esetben) úgy tudjuk használni, ha az AuthLDAPURL paramétere után ldaps:// URI-t alkalmazunk.

További információ

Java

Tomcat

???