Ik ben bezig met het installeren van een finger-server maar zit alleen met het probleem dat de certificering niet goed loopt. Ik volg de tut van linux-script.nl: http://www.linux-scripts.nl/howto/index.php?titel=12
Alles loopt naar mijn mening redelijk tot goed, behalve de certificering.
Ik heb het probleem naar mijn idee gevonden wat betreft de certificering.
Nu gaat dit goed, hierna maak ik een gebruiker in de DB.
Als ik hierna zoek op
Dan wordt op het LDAP wachtwoord gevraagd en krijg ik netjes de userinfo te zien.
Hierna maak ik een certificaat aan:
Dit gaat allemaal goed en nu ga ik het checken of de certificering ook daadwerkelijk werkt.
De eerste krijg ik niet werkend. Als ik hem in debug-mode draai dan komt eruit dat de certifacten niet matchen wat ze toch zeker moeten doen.
De tweede test werkt perfect...... dus over SSL zou moeten werken maar normaal niet ?
Ik heb gechecked en de poorten staan beide open en wordt op geluisterd.
Kan iemand me hier in raden ?
Alles loopt naar mijn mening redelijk tot goed, behalve de certificering.
Ik heb het probleem naar mijn idee gevonden wat betreft de certificering.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| Nu wordt het tijd de eerste entry’s toe te voegen Eerst database aanmaken met manager, creëer een file “ldif” met de volgend inhoud: dn: o=test,c=nl o: test objectclass: top objectclass: organization dn: cn=Manager,o=bedrijftest,c=nl objectclass: organizationalRole cn: Manager Zet dit in de ldif. Nu gaan we deze file toevoegen. /usr/local/bin/ldapadd -x -W -D 'cn=manager,o=bedrijftest,c=NL' -f ldif Er wordt gevraagd om het wachtwoord, deze staat in de slapd.conf. Als je nu het commando /usr/local/sbin/slapcat geeft, krijg je de inhoud van de database te zien. Dit kan ook met: /usr/local/bin/ldapsearch -x -W -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=test,c=nl' objectclass=* Je database kan nu gebruikt worden. Je kan nu ook het wachtwoord van de manager uit de slapd.conf halen. Mochten er ooit problemen zijn met het manager account, dan kan je hierin weer een wachtwoord zetten. |
Nu gaat dit goed, hierna maak ik een gebruiker in de DB.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| dn: uid=bacardibreezer,o=bedrijftest,c=nl
objectClass: person
objectClass: inetorgperson
objectClass: posixaccount
cn: Bacardi Breezer
givenName: Bacardi
sn: Breezer
street: Straatweg 1
postalCode: 1234AB
uid: bacardibreezer
mail: bacardi_breezer@niets.nl
uidNumber: 9016
gidNumber: 9000
homeDirectory: /var/www/html/bacardibreezer
userpassword: {SSHA}+1Hx5fY6j/BroCg0isYnwk32B3+e52L9 |
Als ik hierna zoek op
code:
1
| /usr/local/bin/ldapsearch -x -W -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=bedrijftest,c=nl' uid=bacardibreezer |
Dan wordt op het LDAP wachtwoord gevraagd en krijg ik netjes de userinfo te zien.
Hierna maak ik een certificaat aan:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| Creëer een certificaat met: /usr/local/ssl/bin/openssl req -new -x509 -nodes -keyout /usr/local/etc/openldap/ssl/server.key -out /usr/local/etc/openldap/ssl/server.crt LET EROP DAT JE ALS COMMON NAME DE FQDN VAN JE MACHINE OP GEEFT! /usr/local/ssl/bin/openssl genrsa -des3 -out /usr/local/etc/openldap/ssl/ca.key 1024 /usr/local/ssl/bin/openssl rsa -in /usr/local/etc/openldap/ssl/ca.key -out /usr/local/etc/openldap/ssl/ca.key /usr/local/ssl/bin/openssl req -new -x509 -days 365 -key /usr/local/etc/openldap/ssl/ca.key -out /usr/local/etc/openldap/ssl/ca.crt LET EROP DAT JE ALS COMMON NAME DE FQDN VAN JE MACHINE OP GEEFT! Voeg het volgende toe aan je slapd.conf: TLSCertificateFile /usr/local/etc/openldap/ssl/server.crt TLSCertificateKeyFile /usr/local/etc/openldap/ssl/server.key TLSCACertificateFile /usr/local/etc/openldap/ssl/ca.crt Nu de slapd opnieuw starten (eerst oude process stoppen (killall slapd)) /usr/local/libexec/slapd -h "ldaps:/// ldap:///" Als het goed is wordt er nu geluisterd naar twee poorten, 389 en 636. |
Dit gaat allemaal goed en nu ga ik het checken of de certificering ook daadwerkelijk werkt.
code:
1
2
3
4
5
6
7
8
| Dit is te testen met: /usr/local/bin/ldapsearch -x -W -H ldap://servernaam -ZZ -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=bedrijftest,c=nl' uid=bacardibreezer –d33 De –ZZ betekent starttls (poort 389). Let op dat je bij –H ldap:// dezelfde host op geeft als je bij de common name van het certificate hebt opgegeven!! Je kan ook gebruiken: /usr/local/bin/ldapsearch -x -W -H ldaps://servernaam -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=bedrijftest,c=nl' uid=bacardibreezer -d222 Let op dat de naam hetzelfde moet zijn als in de commonname certificaat! Met de debug info kan je zien dat alles over TLS/SSL verloopt. |
De eerste krijg ik niet werkend. Als ik hem in debug-mode draai dan komt eruit dat de certifacten niet matchen wat ze toch zeker moeten doen.
De tweede test werkt perfect...... dus over SSL zou moeten werken maar normaal niet ?
Ik heb gechecked en de poorten staan beide open en wordt op geluisterd.
Kan iemand me hier in raden ?
Jij bent misschien belangrijk, maar ik ben aardig ;)