Сообщения

1

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 31 Октябрь 2013, 15:32:51 »

Я уже более менее разобрался. Ошибка, которая у меня возникала - не ошибка.

Хотя я так подумал исходя из того, что там на писано "error". Реальная же ошибка была в виде неприметного сообщения.

got search entry without Sync State control

, которое сообщало, что я лажанулся при настройки syncrep.

Похоже, что в моей конфигурации тот error ничего не значит, либо он вообще ничего не значит, поскольку там половина debug мессаджей означает не то, что там написано.

2

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 31 Октябрь 2013, 12:55:35 »

Полез в код этого поделия.  Моя ошибка возникает из-за того, что openldap упрямо хочет испльзовать ерундень под названием MOZNSS (это такая директория для хранения сертификатов) и другие варианты игнорирует.

3

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 31 Октябрь 2013, 10:16:51 »

TLS_CACERT я проверял. Не работает. В общем я могу все что угодно писать в ldap.conf результат один и тот же. Создается ощущение, что в openldap вкрутили какую-то свою базу сертификатов.

4

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 31 Октябрь 2013, 10:08:42 »

> Вероятно, это ошибка.

Нет. Ключ там же. Иначе бы мастер даже не стартанул. Это нормальная практика, когда все сваливается в один pem файл. Собственно я настройки вообще не менял - это все взято из старого slapd.conf

5

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 30 Октябрь 2013, 16:31:58 »

Полдня ковыряний говорят о том, что это связано с указанным выше багом: всегда используется /etc/openldap/certs и все остальные параметры игнорируются. Вроде я напихал в этот certs все ca, которые нужны, но толку мало.

6

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 30 Октябрь 2013, 16:20:21 »

Клиент:
TLS_REQCERT   never

Сервер:
olcTLSCACertificateFile: /etc/openldap/masterldap.pem
olcTLSCertificateFile: /etc/openldap/masterldap.pem
olcTLSCertificateKeyFile: /etc/openldap/masterldap.pem
olcTLSCipherSuite: DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DES-CBC3-S
olcTLSVerifyClient: never

7

Вопросы безопасности / Re: Как задезейблить проверку сертификатов

« : 30 Октябрь 2013, 16:16:14 »

Избавится хочу только от проверки, разумеется, ибо она забагована.  От tls избавляться глупо.

8

Вопросы безопасности / Как задезейблить проверку сертификатов

« : 30 Октябрь 2013, 13:10:48 »

Переезжаю с Debian, страшно сказать, 4 на RHEL 6 и хожу по граблям TLS, который конечно с багами: https://bugzilla.redhat.com/show_bug.cgi?id=857455.

Поэтому вопрос простой. Как запретить проверку сертификатов? Совсем запретить? На стороне мастера вроде как olcTLSVerifyClient=never, но это похоже не помогает,  поскольку на клиенте я отхватываю проблемы ещё при старте в не зависимости от  TLS_REQCERT.

bdb_monitor_db_open: monitoring disabled; configure monitor database to enable
slapd starting
TLS: error: the certificate '/etc/openldap/ldap2.pem' could not be found in the database - error -8187:security library: invalid arguments..
TLS: certificate '/etc/openldap/ldap2.pem' successfully loaded from PEM file.
TLS: no unlocked certificate for certificate

Возможно я чего-то не понимаю в этой конструкции.

9

Обсуждение переводов и статей / Спасибо за хороший сайт.

« : 18 Февраль 2013, 19:36:47 »

Не нашел раздела "о нас" или чего подобного, поэтому пишу сюда. Статьи хорошие, предмет правда.... Столько хочу вопросов задать, а в голову одни маты по поводу ldap лезут, поэтому лучше просто спасибо за работу скажу