Hallo Leute,
ich habe hier unter Debian Testing einen LDAP Server mit slurpd und
einen Slave welcher von diesem gefuettert wird aufgesetzt.
Die Clients habe ich zur Zeit mittels tls konfiguriert:
ldap.conf: TLS_CACERT /etc/ssl/certs/cacert.pem
pam_ldap.conf: ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/ssl/certs/cacert.pem
tls_cacertdir /etc/ssl/certs
Und natuelich was noch fuer LDAP noetig ist.
Master - Client Betrieb funktioniert jedenfalls problemlos
mittels ssl/tls.
Auch der slurpd gibt problemlos ueber tls seine Daten an den
Slave weiter.
Nun meine Fragen:
Wie bekomme ich es hin, das die Clients per ssl/tls sowohl
den Master als auch (falls dieser ausfaellt oder auch gleichzeitig
um den Master zu entlasten) den Slave per ssl/tls befragen koennen?
Das Problem was ich habe ist, das die Clients nur mit einem
von beiden eine verschluesselte Verbindung aufnehmen koennen.
Die Ursache ist auch klar, ich habe sowohl fuer den Master als auch
fuer den Slave mit Hilfe von openssl selbstsignierte Zertifikate
erzeugt. Man kann nun in der ldap.conf oder pam_ldap.conf zwar mehrere
LDAP-Server eintragen aber nicht mehrere Zertifikate. Und fuer beide
Rechner das selbe Zertifikat benutzen funktioniert auch nicht, da der
volle Rechnername mit Domain eingetragen werden muss.
Kann man mit openssl ein Zertifikat fuer beide Rechner erstellen?
Konnte in diversen Buechern und google bis jetzt nichts finden.
Gibt es andere Loesungen unter Verwendung von ssl/tls?
Wenn das mal funktionieren sollte oder auch nicht und ich das
ganze ohne ssl/tls betreiben wuerde, besteht das selbe Problem mit
dem Automounter.
/etc/auto.master:
/home ldap
ldap-master.test.de:ou=auto.home,ou=automount,dc=Users,dc=test,dc=de
Wie kann ich dem Client sagen das er automatisch den ldap-slave
verwenden soll wenn der ldap-master nicht verfuegbar ist?
Gibts da sowas wie unter Sun
automount: ldap
was man in die nsswitch.conf eintragen kann?
Hoffentlich hab ich alles verstaendlich erklaert
Vielen Dank
Frank Tammer
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil