Вопросы Теги

Установка SSL с 389 Серверами каталогов для аутентификации LDAP

%CD% псевдопеременная среды содержит текущий рабочий каталог и доступна в файлах CMD\Batch.

В Вашем случае batchfile, который просто содержит MyExe.exe %CD% сделает то, что Вы хотите.

7
задан 4 July 2012 в 16:41
3 ответа

Первое, что вы можете сделать, это проверить, правильно ли ваш сервер представляет свои сертификаты. Вы можете сделать это, попытавшись подключиться к вашему серверу с помощью OpenSSL. На клиентской машине с доступом запустите: 

openssl s_client –connect target_server_fqdn:636

Это должно вернуть хорошую распечатку сертификата сервера. Ключевым моментом здесь является проверка напечатанного в конце «Проверить код возврата». Вы можете получить разные коды, но, вообще говоря, вы должны получить 0 для действительного сертификата и, возможно, 19, если вы подписываете себя самостоятельно.

Если это не удается, вернитесь и убедитесь, что вы импортировали сертификаты на стороне сервера

Если вы прошли этот тест, переходите к тестированию ваших TLS-соединений на стороне клиента.

На клиентском компьютере запустите 

ldapsearch -z -ZZ '(uid=<testusername>)'

Это заставит поиск LDAP через зашифрованное соединение. Если это успешно,

[23 / сен / 2011: 07: 48: 57 -0500] conn = 1631 op = 0 EXT oid = "XXXXXX.X.XX" name = "startTLS" [23 / сен / 2011: 07: 48: 57 -0500] conn = 1631 op = 0 RESULT err = 0 tag = 120 nentries = 0 etime = 0 самоподписанный сертификат CA: 

certutil -S -n "<CA Certificate Name Here>" -s "cn=<CN Name Here>, dc=<Your DC's FQDN>" -2 -x -t "CT,," -m 1000 -v 120 -d . -k rsa

2.) Создайте сертификат сервера для сервера каталогов 

certutil -S -n "Cert-Name" -s "cn=<Server FQDN>" -c "<Name of CA Certificate>" -t "u,u,u" -m 1001 -v 120 -d . -k rsa

3.) Импортируйте оба этих сертификата на сервер каталогов в разделе «Управление сертификатами», выбранном в разделе «Задачи»

4.) Включите шифрование TLS

5.) Создайте экспортируемый сертификат для клиентов и выведите его в файл .pem 

certutil -d . -L -n "<CA Certificate Name>" -a > cacert.pem

6.) По вашему выбору - загрузите сертификат клиента на каждого клиента.

7.) Перефразируйте сертификаты с помощью ранее упомянутой команды 

cacertdir_rehash <dir where certs are stored>
7
ответ дан 2 December 2019 в 23:33

Мне не повезло с настройкой SSL для каталога 389 или серверов администратора следуя инструкциям, которые я нашел (я полагал, это потому, что я использовал Centos 6, и большинство из них были нацелены именно на Redhat).

В конечном итоге у меня сработало инициирование запросов сертификатов с консоли 389 (admin | dir) серверные интерфейсы, подпишите эти требования с помощью установки tinyCA (просто интерфейс для openssl, я ленив), экспортируйте подписанные сертификаты PEM и сертификаты CA и импортируйте их обратно с помощью консоли 389.

Консоль 389 -> Группа серверов -> (администратор / каталог) сервер ->

2
ответ дан 2 December 2019 в 23:33

Could you use below link to setup RHDS/389-ds on SSL.

http://lists.fedoraproject.org/pipermail/389-users/2012-March/014200.html

Hope that helps.

0
ответ дан 2 December 2019 в 23:33

Теги

Похожие вопросы