Suse 9.2 LDAP und Clientauthentifizierung
Hallo, ich moechte nss_ldap fuer die Benutzerverwaltung verwenden. Das klappt auch soweit gut. Ich moechte nun allerdings erreichen, dass die Kommunikation zwischen Client und Server per TLS verschluesselt wird, und dass der Client sich beim Server per Zertifikat authentifiziert. Dazu hab ich folgendes in /etc/ldap.conf eingetragen: ssl start_tls tls_checkpeer yes tls_cacertfile /etc/ssl/ca.pem tls_cert /etc/ssl/femtosec.rtsys.pem tls_key /etc/ssl/femtosec.rtsys.key Die Permissions auf dem key sind wie folgt: -rw------- 1 root root 887 Mar 1 16:51 ssl/femtosec.rtsys.key Als root klappt dann auch soweit alles. Als normaler User schlagen ldap Anfragen nun fehl. Ist ja auch klar, weil das Zertifikat nicht von einfachen Usern gelesen werden kann. Den Key weltlesber zu machen ist natuerlich keine Option, weil ich dann ja keine Sicherheit mehr habe. nscd zu verwenden funktioniert auch nicht. Gibt es eine Loesung fuer dieses Problem? Gruss, Tim
Tim Grebien
Hallo,
ich moechte nss_ldap fuer die Benutzerverwaltung verwenden. Das klappt auch soweit gut.
Ich moechte nun allerdings erreichen, dass die Kommunikation zwischen Client und Server per TLS verschluesselt wird, und dass der Client sich beim Server per Zertifikat authentifiziert. Dazu hab ich folgendes in /etc/ldap.conf eingetragen:
ssl start_tls tls_checkpeer yes
tls_cacertfile /etc/ssl/ca.pem
tls_cert /etc/ssl/femtosec.rtsys.pem tls_key /etc/ssl/femtosec.rtsys.key
Die Permissions auf dem key sind wie folgt:
-rw------- 1 root root 887 Mar 1 16:51 ssl/femtosec.rtsys.key
Das ist ja schon Unsinn, den slapd läuft als User ldap.ldap und kann daher das Zertifikat nicht lesen.
Als root klappt dann auch soweit alles. Als normaler User schlagen ldap Anfragen nun fehl. Ist ja auch klar, weil das Zertifikat nicht von einfachen Usern gelesen werden kann.
Diese Aussage ist Humbug, denn ein User muß nur das vom Server präsentierte Zertifikat verifizieren, dazu muß Leserecht auf cacert.pem gewährt werden.
Den Key weltlesber zu machen ist natuerlich keine Option, weil ich dann ja keine Sicherheit mehr habe.
Quatsch!.
Gibt es eine Loesung fuer dieses Problem?
Lies' RFC2246 -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
participants (2)
-
Dieter Kluenter
-
Tim Grebien