Hallo Leute, ich habe hier unter Debian Testing einen LDAP Server mit slurpd und einen Slave welcher von diesem gefuettert wird aufgesetzt.
Die Clients habe ich zur Zeit mittels tls konfiguriert: ldap.conf: TLS_CACERT /etc/ssl/certs/cacert.pem pam_ldap.conf: ssl start_tls tls_checkpeer yes tls_cacertfile /etc/ssl/certs/cacert.pem tls_cacertdir /etc/ssl/certs Und natuelich was noch fuer LDAP noetig ist. Master - Client Betrieb funktioniert jedenfalls problemlos mittels ssl/tls. Auch der slurpd gibt problemlos ueber tls seine Daten an den Slave weiter. Nun meine Fragen: Wie bekomme ich es hin, das die Clients per ssl/tls sowohl den Master als auch (falls dieser ausfaellt oder auch gleichzeitig um den Master zu entlasten) den Slave per ssl/tls befragen koennen? Das Problem was ich habe ist, das die Clients nur mit einem von beiden eine verschluesselte Verbindung aufnehmen koennen. Die Ursache ist auch klar, ich habe sowohl fuer den Master als auch fuer den Slave mit Hilfe von openssl selbstsignierte Zertifikate erzeugt. Man kann nun in der ldap.conf oder pam_ldap.conf zwar mehrere LDAP-Server eintragen aber nicht mehrere Zertifikate. Und fuer beide Rechner das selbe Zertifikat benutzen funktioniert auch nicht, da der volle Rechnername mit Domain eingetragen werden muss. Kann man mit openssl ein Zertifikat fuer beide Rechner erstellen? Konnte in diversen Buechern und google bis jetzt nichts finden. Gibt es andere Loesungen unter Verwendung von ssl/tls? Wenn das mal funktionieren sollte oder auch nicht und ich das ganze ohne ssl/tls betreiben wuerde, besteht das selbe Problem mit dem Automounter. /etc/auto.master: /home ldap ldap-master.test.de:ou=auto.home,ou=automount,dc=Users,dc=test,dc=de Wie kann ich dem Client sagen das er automatisch den ldap-slave verwenden soll wenn der ldap-master nicht verfuegbar ist? Gibts da sowas wie unter Sun automount: ldap was man in die nsswitch.conf eintragen kann? Hoffentlich hab ich alles verstaendlich erklaert .... Vielen Dank Frank Tammer
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil