httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Rainer Sokoll <R.Sok...@intershop.de>
Subject [Solved] 2.2.x und ldaps
Date Wed, 19 Sep 2007 12:50:12 GMT
On Tue, Sep 18, 2007 at 02:43:04PM +0200, Rainer Sokoll wrote:

Fürs Archiv:

> hat jemand ein Kochrezept für $SUBJECT?
> http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#settingcerts habe ich
> gelesen, aber nicht verstanden :-(
> Konkret: Ich brauche doch (mindestens) 2 Zertifikate für den
> LDAP-Server, einmal das Server-Zertifikat und einmal das CA-Zertifikat,
> richtig?

Nein, das ist falsch. Man braucht nur ein Zertifikat der richtigen
Root-CA (man kann aber durchaus mehrere Zertifikate mehrerer Root-CAs
haben)
Der Server schickt dann sein Server-Zertifikat, dessen Issuer mit dem
CN im Root-Zertifikat verglichen wird. (Das ist alles X.509 und hat mit
dem Apachen strenggenommen nichts zu tun).
So funktioniert hier LDAPS gegen ein Active Directory:

LDAPTrustedGlobalCert CA_BASE64 certs/ca_dc.cer
<Location />
  [...]
  AuthType Basic
  AuthBasicProvider ldap
  AuthName "Subversion Repository"
  AuthzLDAPAuthoritative off
  AuthLDAPBindDN auser
  AuthLDAPBindPassword apassword
  AuthLDAPUrl ldaps://ldapserver.example.org:636/DC=foo,DC=bar?sAMAccountName
  AuthUserFile /dev/null
  Require valid-user
</Location>

Rainer

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message