Re: [OpenLDAP] crea certificato

Tue, 11 Sep 2007 08:47:41 -0700 

Alessandro De Zorzi wrote:

Pierangelo Masarati wrote:

Inoltre, OpenLDAP supporta SASL EXTERNAL basato su TLS, per il quale
la verifica dei certificati corrisponde ad autenticazione e
l'identita' del client viene vista come il DN del certificato
(opzionalmente rimappato con le regole authz-regexp).  In questo caso,
un certificato self-signed, in genere comunque da evitare, non e'
proprio possibile.



purtroppo non sono in grado di seguire questa analisi così approfondita :-P



In realta' e' incredibilmente semplice, una volta che la configurazione 
TLS e' a posto.



rimanendo sui principi generali che condivido (evitare certificati
self-sign)
mi piacerebbe sapere se nella configurazione descritta OpenLDAP verifica un
certificato firmato da CaCert.org se il certificato Root di CaCert.org è già
disponibile sul sistema



OpenLDAP non fa distinzione di razza, sesso o colore delle CA con cui lo 
configuri :).  Scherzi a parte, io finora ho solo provato con 
certificati generati dalla "mia" CA (CA.sh e simili), e con un solo CA 
certificate in TLSCACertificateFile (slapd.conf(5)) e TLS_CACERT 
(ldap.conf(5)).  Comunque non ci dovrebbero essere problemi.



A (s)proposito, mentre fino a OpenLDAP 2.3 la manipolazione dei 
certificati era delegata a OpenSSL, in OpenLDAP 2.4 viene in parte 
spostata all'interno di slapd (verifica sintattica, estrazione di 
informazioni ecc.), in quanto 2.4 supporta anche GNUtls.  Si parla di un 
obbiettivo remoto in cui tutto SSL sara' gestito nativamente all'interno 
di slapd.



Solo che "ogni tanto" salta fuori ancora qualche bachetto (tipo che non 
accettava i certificati SSLv1, oppure quelli con serial number > 2^31-1, 
che e' l'intero piu' grande LDAP ma non X.509; fissati da poco).  Se 
qualcuno ha voglia di giocare con OpenLDAP 2.4.5 appena uscita, magari 
con certificati strani, ci fa un favore.


Ciao, p.



Ing. Pierangelo Masarati
OpenLDAP Core Team

SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
---------------------------------------
Office:  +39 02 23998309
Mobile:  +39 333 4963172
Email:   [EMAIL PROTECTED]
---------------------------------------


_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
























					Rispondere a