Toon posts:

[FEDORA] LDAP, certificering wil maar niet werken

Pagina: 1
Acties:

donderdag 22 juli 2004 22:51

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Ik ben bezig met het installeren van een finger-server maar zit alleen met het probleem dat de certificering niet goed loopt. Ik volg de tut van linux-script.nl: http://www.linux-scripts.nl/howto/index.php?titel=12

Alles loopt naar mijn mening redelijk tot goed, behalve de certificering.


Ik heb het probleem naar mijn idee gevonden wat betreft de certificering.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

Nu wordt het tijd de eerste entry’s toe te voegen

Eerst database aanmaken met manager, creëer een file “ldif” met de volgend inhoud:

dn: o=test,c=nl
o: test
objectclass: top
objectclass: organization

dn: cn=Manager,o=bedrijftest,c=nl
objectclass: organizationalRole
cn: Manager

Zet dit in de ldif.

Nu gaan we deze file toevoegen.
/usr/local/bin/ldapadd -x -W -D 'cn=manager,o=bedrijftest,c=NL' -f ldif
Er wordt gevraagd om het wachtwoord, deze staat in de slapd.conf.

Als je nu het commando /usr/local/sbin/slapcat geeft, krijg je de inhoud van de database te zien.
Dit kan ook met:
/usr/local/bin/ldapsearch -x -W -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=test,c=nl' objectclass=*

Je database kan nu gebruikt worden. Je kan nu ook het wachtwoord van de manager uit de slapd.conf halen. Mochten er ooit problemen zijn met het manager account, dan kan je hierin weer een wachtwoord zetten.


Nu gaat dit goed, hierna maak ik een gebruiker in de DB.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

dn: uid=bacardibreezer,o=bedrijftest,c=nl
objectClass: person
objectClass: inetorgperson
objectClass: posixaccount
cn: Bacardi Breezer
givenName: Bacardi
sn: Breezer
street: Straatweg 1
postalCode: 1234AB
uid: bacardibreezer
mail: bacardi_breezer@niets.nl
uidNumber: 9016
gidNumber: 9000
homeDirectory: /var/www/html/bacardibreezer
userpassword: {SSHA}+1Hx5fY6j/BroCg0isYnwk32B3+e52L9


Als ik hierna zoek op
code:
1

/usr/local/bin/ldapsearch -x -W -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=bedrijftest,c=nl' uid=bacardibreezer


Dan wordt op het LDAP wachtwoord gevraagd en krijg ik netjes de userinfo te zien.

Hierna maak ik een certificaat aan:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

Creëer een certificaat met:
/usr/local/ssl/bin/openssl req -new -x509 -nodes -keyout /usr/local/etc/openldap/ssl/server.key -out /usr/local/etc/openldap/ssl/server.crt
LET EROP DAT JE ALS COMMON NAME DE FQDN VAN JE MACHINE OP GEEFT!

/usr/local/ssl/bin/openssl genrsa -des3 -out /usr/local/etc/openldap/ssl/ca.key 1024

/usr/local/ssl/bin/openssl rsa -in /usr/local/etc/openldap/ssl/ca.key -out /usr/local/etc/openldap/ssl/ca.key

/usr/local/ssl/bin/openssl req -new -x509 -days 365 -key /usr/local/etc/openldap/ssl/ca.key -out /usr/local/etc/openldap/ssl/ca.crt
LET EROP DAT JE ALS COMMON NAME DE FQDN VAN JE MACHINE OP GEEFT!

Voeg het volgende toe aan je slapd.conf:

TLSCertificateFile /usr/local/etc/openldap/ssl/server.crt
TLSCertificateKeyFile /usr/local/etc/openldap/ssl/server.key
TLSCACertificateFile /usr/local/etc/openldap/ssl/ca.crt 

Nu de slapd opnieuw starten (eerst oude process stoppen (killall slapd))
/usr/local/libexec/slapd -h "ldaps:/// ldap:///"

Als het goed is wordt er nu geluisterd naar twee poorten, 389 en 636.


Dit gaat allemaal goed en nu ga ik het checken of de certificering ook daadwerkelijk werkt.

code:
1
2
3
4
5
6
7
8

Dit is te testen met:
/usr/local/bin/ldapsearch -x -W -H ldap://servernaam -ZZ -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=bedrijftest,c=nl' uid=bacardibreezer –d33

De –ZZ betekent starttls (poort 389). Let op dat je bij –H ldap:// dezelfde host op geeft als je bij de common name van het certificate hebt opgegeven!!

Je kan ook gebruiken:
/usr/local/bin/ldapsearch -x -W -H ldaps://servernaam -D 'cn=manager,o=bedrijftest,c=nl' -b 'o=bedrijftest,c=nl' uid=bacardibreezer -d222
Let op dat de naam hetzelfde moet zijn als in de commonname certificaat! Met de debug info kan je zien dat alles over TLS/SSL verloopt.



De eerste krijg ik niet werkend. Als ik hem in debug-mode draai dan komt eruit dat de certifacten niet matchen wat ze toch zeker moeten doen.

De tweede test werkt perfect...... dus over SSL zou moeten werken maar normaal niet ?

Ik heb gechecked en de poorten staan beide open en wordt op geluisterd.

Kan iemand me hier in raden ?

Jij bent misschien belangrijk, maar ik ben aardig ;)

vrijdag 23 juli 2004 13:23

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Ik ben op dit moment maar aan het overwegen om debian te installeren. Lijkt me een betere optie dan Fedora denk ik. Iemand het hier mee oneens ?

Jij bent misschien belangrijk, maar ik ben aardig ;)

vrijdag 23 juli 2004 13:25

Acties:
  • rollebol
  • Registratie: Mei 2000
  • Laatst online: 22-08-2025

rollebol

Dat is echt van ontzettend veel factoren afhankelijk.

Welk OS (bv. Linux distro) moet ik nemen? Part 4

vrijdag 23 juli 2004 14:31

Acties:
  • Loesje
  • Registratie: Januari 2000
  • Laatst online: 02-07-2025

Loesje

Ben ik nou gek of is het normaal dat het alleen via SSL werkt. Als het ook zonder zou werken, waarom zou je dan uberhaupt certificaten gebruiken? Die zijn immers alleen voor SSL?

Daarnaast ben je veel te moeilijk bezig. Al deze functionaliteit zit standaard in Fedora gebakken, je hoeft zelf niets meer te scripten. hier is een goed startpunt.

Leven is meervoud van lef

vrijdag 23 juli 2004 19:46

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
Loesje schreef op 23 juli 2004 @ 14:31:
Ben ik nou gek of is het normaal dat het alleen via SSL werkt. Als het ook zonder zou werken, waarom zou je dan uberhaupt certificaten gebruiken? Die zijn immers alleen voor SSL?
Beetje dubbelzinnig ? Ik zou graag certificaten gebruiken omdat ik genoodzaakt ben er straks een aan te vragen bij CA :)

Jij bent misschien belangrijk, maar ik ben aardig ;)

zaterdag 24 juli 2004 12:24

Acties:
  • active2
  • Registratie: Juni 2001
  • Laatst online: 26-10-2024

active2

Google is your friend

Je moet even op zoek naar wat meer informatie over openssl. En zeker over hoe het werkt en hoe je netjes een certificaat aanmaakt.

Ik heb het tijden geleden ook gedaan en het werkt bij mij out of the box :)

BTW: Dat was debian. Maar ik ga er vanuit dat dat ook gewoon werkt bij Fedora.

PS: Niet altijd de standaard HOWTO's volgen.. ook is meerdere bij elkaar pakken en wat gaan combineren. Daar krijg je heel erg leuke dingen van :)

Google, Het mirakel van de 21e eeuw!!!!

zaterdag 24 juli 2004 20:41

Acties:
  • BacardiBreezer
  • Registratie: September 2003
  • Laatst online: 19-06-2005

BacardiBreezer

Breezing Bacardi ?

Topicstarter
active2 schreef op 24 juli 2004 @ 12:24:
Je moet even op zoek naar wat meer informatie over openssl. En zeker over hoe het werkt en hoe je netjes een certificaat aanmaakt.

Ik heb het tijden geleden ook gedaan en het werkt bij mij out of the box :)

BTW: Dat was debian. Maar ik ga er vanuit dat dat ook gewoon werkt bij Fedora.

PS: Niet altijd de standaard HOWTO's volgen.. ook is meerdere bij elkaar pakken en wat gaan combineren. Daar krijg je heel erg leuke dingen van :)
Ben druk aan het combineren geweest :) Thnx ! Kon wel wat zaken vinden maar het werkt gewoon niet naar behoren. Ik ga Debian maar eens proberen... lijkt me geweldig met dat automatisch getten namelijk :)

Jij bent misschien belangrijk, maar ik ben aardig ;)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq