Project

General

Profile

Bac à idée #4924

L'utilisation de certificats personnalisés empêche "slapd" de démarrer

Added by Klaas TJEBBES over 7 years ago. Updated almost 4 years ago.

Status:
Classée sans suite
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
-
Start date:
Due date:
% Done:

0%


Description

Les droits sur le dossier "/etc/ssl/private/" ne permettent pas à l'utilisateur "openldap" de lire le contenu donc les fichiers *.key qui s'y trouvent. Sur 2.2 c'est là que se trouve le fichier "scribe-0210017E.key".

Sur 2.3, trois solutions :
  • adapter les droits sur le dossier "private"
  • inscrire l'utilisateur "openldap" au groupe "ssl-cert"
  • utiliser un autre dossier

Related issues

Related to Amon - Anomalie #4747: ead-server plante avec certificat IGC qui contient deux "X509v3 Subject Alternative Name: DNS" Pas un bug 02/07/2013
Related to eole-common - Scénario #21863: Corrections let's encrypt Terminé (Sprint) 05/15/2017 12/01/2017

History

#1 Updated by Klaas TJEBBES over 7 years ago

On peut créer un autre dossier "/etc/ssl/private_eole/" par exemple.

L'idée est de séparer le fichier .key car ce fichier est sensible et ne doit pas tomber entre de mauvaise mains. Il ne faudrait donc pas que "other" puisse accéder au fichier .key.

On peut créer un groupe eole-certs, affecter les droits suivantes :
drwx--x--- 2 root eole-certs 4096 2013-02-19 16:47 /etc/ssl/private_eole/
et inscrire les users des démons ayant besoin d'accéder au .key au groupe "eole-certs".

Ceci permettrait que ces démons n'accèdent pas aux autres fichiers .key contenus dans "/etc/ssl/private/".

#2 Updated by Luc Bourdot almost 6 years ago

  • Tracker changed from Anomalie to Bac à idée

#3 Updated by Luc Bourdot almost 6 years ago

  • Target version deleted (48)

#4 Updated by Luc Bourdot almost 4 years ago

  • Status changed from Nouveau to Classée sans suite

#5 Updated by Joël Cuissinat over 2 years ago

Also available in: Atom PDF