Projet

Général

Profil

Bac à idée #4924

L'utilisation de certificats personnalisés empêche "slapd" de démarrer

Ajouté par Klaas TJEBBES il y a environ 11 ans. Mis à jour il y a plus de 7 ans.

Statut:
Classée sans suite
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
Echéance:
% réalisé:

0%

Description

Les droits sur le dossier "/etc/ssl/private/" ne permettent pas à l'utilisateur "openldap" de lire le contenu donc les fichiers *.key qui s'y trouvent. Sur 2.2 c'est là que se trouve le fichier "scribe-0210017E.key".

Sur 2.3, trois solutions :
  • adapter les droits sur le dossier "private"
  • inscrire l'utilisateur "openldap" au groupe "ssl-cert"
  • utiliser un autre dossier

Demandes liées

Lié à Amon - Anomalie #4747: ead-server plante avec certificat IGC qui contient deux "X509v3 Subject Alternative Name: DNS" Pas un bug 07/02/2013
Lié à eole-common - Scénario #21863: Corrections let's encrypt Terminé (Sprint) 15/05/2017 01/12/2017

Historique

#1 Mis à jour par Klaas TJEBBES il y a environ 11 ans

On peut créer un autre dossier "/etc/ssl/private_eole/" par exemple.

L'idée est de séparer le fichier .key car ce fichier est sensible et ne doit pas tomber entre de mauvaise mains. Il ne faudrait donc pas que "other" puisse accéder au fichier .key.

On peut créer un groupe eole-certs, affecter les droits suivantes :
drwx--x--- 2 root eole-certs 4096 2013-02-19 16:47 /etc/ssl/private_eole/
et inscrire les users des démons ayant besoin d'accéder au .key au groupe "eole-certs".

Ceci permettrait que ces démons n'accèdent pas aux autres fichiers .key contenus dans "/etc/ssl/private/".

#2 Mis à jour par Luc Bourdot il y a plus de 9 ans

  • Tracker changé de Anomalie à Bac à idée

#3 Mis à jour par Luc Bourdot il y a plus de 9 ans

  • Version cible 48 supprimé

#4 Mis à jour par Luc Bourdot il y a plus de 7 ans

  • Statut changé de Nouveau à Classée sans suite

#5 Mis à jour par Joël Cuissinat il y a plus de 6 ans

Formats disponibles : Atom PDF