> seguendo le varie prodecure > ./CA -newca > ./CA -newreq > ./CA -signreq > ho creato il certificato per il server ldap > Nel file di configurazione /etc/ldap.conf ho settato i parametri per dire > al client dove si trova il certificato del server > tls_certdir /etc/certs
/etc/ldap.conf di solito non e' il file di configurazione usato dalla libldap di OpenLDAP tls_certdir non e' un parametro valido per l'ldap.conf(5) di OpenLDAP > Ma ora x la gestione dell'autenticazione di un utente ldap che vuole > collegarsi al server ldap devo ripetere la stessa procedura per il client > o è già tutto a posto settando i parametri del file /etc/ldap.conf Che cos'ha a che fare il tls con la "gestione dell'autenticazione"? Hai intenzione di usare SASL EXTERNAL basato sui certificati usati per il TLS? > Inolte i parametri tls_cert e tls_key specificano il certificato e la > chiave che usa il client:questi non hanno niente a che fare con newkey.pem > e newcert.pem generati in precedenza per il server? Se ti riferisci al file ldap.conf(5) usato dalla libldap di OpenLDAP, Tls_cert & tls_key non possono stare nel file ldap.conf(5), perche' sono opzioni che hanno senso solo per uno specifico utente o una specifica applicazione in ogni caso devono stare nel file ldaprc di quell'utente. Comunque, dato che stai parlando di configurazione del client, ovviamente i certificati del server non hanno assolutamente nulla a che vedere. Ricordo inoltre che, ai fini della verifica, i certificati sia del server che del client non possono contenere nomi qualunque di fantasia, ma dovrebbero contenere come nome il FQDN del server a cui si applicano. O, almeno, lo devono contenere nel campo subjectAltName, altrimenti la verifica fallisce. Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it --------------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Email: [EMAIL PROTECTED] --------------------------------------- _______________________________________________ OpenLDAP mailing list [email protected] https://www.sys-net.it/mailman/listinfo/openldap
