Re: LDAP Master Slave ssl/tls

[Frank Tammer]

 Hierfr gibt es die subject alternative name-Extensions.
 
 subjectAltName=DNS:name1.domain,DNS:name2.domain
 
 Funktioniert auch mit *, etwa DNS:*.domain
 
 Wichtig: subjectAltName ersetzt an dieser Stelle den Rechnernamen im
 cn.
 
 Torsten
 
 BTW: Details fr den Wagemutigen gibt es u.a. ab Seite 33 von RFC
 3280 (4.2.1.7 Subject Alternative Name).  Infos zur openssl-Syntax am
 besten mit google suchen, hierzu fand ich keine Referenz.

Vielen Dank Torsten,

mit dem Eintrag 

subjectAltName=IP:Master,IP:Slave,DNS:Master,DNS:Slave

in die /etc/ssl/openssl.cnf und eine Neuerstellung des
Zertifikat's funktioniert's jetzt wunderbar.

Hat vielleicht noch einer eine Idee zu meinem Automounter
Problem?

Gruss
Frank


signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil

LDAP Master Slave ssl/tls

[Frank Tammer]

Hallo Leute,

ich habe hier unter Debian Testing einen LDAP Server mit slurpd und
einen Slave welcher von diesem gefuettert wird aufgesetzt.

Die Clients habe ich zur Zeit mittels tls konfiguriert:

ldap.conf:  TLS_CACERT /etc/ssl/certs/cacert.pem

pam_ldap.conf:  ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/ssl/certs/cacert.pem
tls_cacertdir /etc/ssl/certs

Und natuelich was noch fuer LDAP noetig ist.
Master - Client Betrieb funktioniert jedenfalls problemlos 
mittels ssl/tls.
Auch der slurpd gibt problemlos ueber tls seine Daten an den 
Slave weiter.

Nun meine Fragen:

Wie bekomme ich es hin, das die Clients per ssl/tls sowohl 
den Master als auch (falls dieser ausfaellt oder auch gleichzeitig
um den Master zu entlasten) den Slave per ssl/tls befragen koennen?

Das Problem was ich habe ist, das die Clients nur mit einem
von beiden eine verschluesselte Verbindung aufnehmen koennen.
Die Ursache ist auch klar, ich habe sowohl fuer den Master als auch
fuer den Slave mit Hilfe von openssl selbstsignierte Zertifikate
erzeugt. Man kann nun in der ldap.conf oder pam_ldap.conf zwar mehrere
LDAP-Server eintragen aber nicht mehrere Zertifikate. Und fuer beide
Rechner das selbe Zertifikat benutzen funktioniert auch nicht, da der
volle Rechnername mit Domain eingetragen werden muss.

Kann man mit openssl ein Zertifikat fuer beide Rechner erstellen?
Konnte in diversen Buechern und google bis jetzt nichts finden.
Gibt es andere Loesungen unter Verwendung von ssl/tls?

Wenn das mal funktionieren sollte oder auch nicht und ich das
ganze ohne ssl/tls betreiben wuerde, besteht das selbe Problem mit
dem Automounter.

/etc/auto.master:

/home ldap
ldap-master.test.de:ou=auto.home,ou=automount,dc=Users,dc=test,dc=de

Wie kann ich dem Client sagen das er automatisch den ldap-slave
verwenden soll wenn der ldap-master nicht verfuegbar ist? 
Gibts da sowas wie unter Sun
 
automount: ldap

was man in die nsswitch.conf eintragen kann?

Hoffentlich hab ich alles verstaendlich erklaert 

Vielen Dank
Frank Tammer


 



signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil

Re: LDAP Master Slave ssl/tls

[Torsten Hilbrich]

Frank Tammer [EMAIL PROTECTED] writes:

[...]

 Kann man mit openssl ein Zertifikat fuer beide Rechner erstellen?
 Konnte in diversen Buechern und google bis jetzt nichts finden.

Hierfür gibt es die subject alternative name-Extensions.

subjectAltName=DNS:name1.domain,DNS:name2.domain

Funktioniert auch mit *, etwa DNS:*.domain

Wichtig: subjectAltName ersetzt an dieser Stelle den Rechnernamen im
cn.

Torsten

BTW: Details für den Wagemutigen gibt es u.a. ab Seite 33 von RFC
3280 (4.2.1.7 Subject Alternative Name).  Infos zur openssl-Syntax am
besten mit google suchen, hierzu fand ich keine Referenz.