jump to navigation

Gentoo, OpenLDAP und BIND July 20, 2008

Posted by Tobias Scherbaum in : Sysadmin , 2comments

Der Versuch einen BIND an ein OpenLDAP-Verzeichnis “zu klemmen” war zunächst nicht allzu erfolgreich. Prinzipiell gibt es hierzu zwei Möglichkeiten, einerseits über DLZ+LDAP und andererseits über den sdb-ldap-Patch. Die erste Variante wurde in zahlreichen Foren/Blogs als die unschönere beschrieben, bis dato war es aber die einzige mit Gentoos Bind zu realisierende (USE=”dlz ldap”).

Nachdem ich nochmal eine Nacht drüber geschlafen habe, setzte ich mich heute Vormittag daran den sdb-ldap-Patch in Gentoos Bind zu integrieren - Ergebnis ist das bind-9.5.0_p1-r1 Ebuild (USE=”sdb-ldap).

Zur Konfiguration gibt es nicht viele Worte zu verlieren, eine knappe Doku findet sich auf den Seiten des RRZE der Uni Erlangen.

Apache, SSL und SNI July 20, 2008

Posted by Tobias Scherbaum in : Sysadmin , 9comments

War es bisher nicht möglich, pro IP-Adresse eines Webservers mehr als ein Zertifikat zu verwenden, ermöglicht SNI nun genau das. In Apache ist der Patch noch nicht enthalten, aber unter anderem die Gentoo-Distribution ;) ermöglicht das Anwenden des Patches über das +sni USE-Flag.

Zunächst will also ein Apache mit integriertem SNI-Patch installiert werden:

# emerge apache -pv

These are the packages that would be merged, in order:

Calculating dependencies… done!
[ebuild R ] www-servers/apache-2.2.9 USE=”sni ssl -debug -doc -ldap (-selinux) -static -suexec -threads” APACHE2_MODULES=”[...]” 0 kB

Total: 1 package (1 reinstall), Size of downloads: 0 kB

Nachdem der Apache SNI nun unterstützt, ist noch die Direktive NameVirtualHost anzupassen. Zunächst aktivieren wir aber Unterstützung für SSL und den SSL_DEFAULT_VHOST.

# grep ^APACHE2_OPTS /etc/conf.d/apache2
APACHE2_OPTS=”-D SSL -D NAGIOS -D PHP5 -D SSL_DEFAULT_VHOST”

Da der SSL_DEFAULT_VHOST aktiviert ist, bietet es sich an die Direktive NameVirtualHost für den SSL-Port in der Konfigurationsdatei /etc/apache2/vhosts.d/00_default_ssl_vhost.conf zu setzen.

# vim /etc/apache2/vhosts.d/00_default_ssl_vhost.conf
NameVirtualHost *:443

Nun können analog zu “normalen” VirtualHosts auch VirtualHosts für SSL-Verbindungen angelegt werden. Einziger Wermutstropfen sind die Anforderungen an den Browser - so ist SNI erst in >=Firefox-2, >=Opera-8 und >=IE-7 möglich. Dies schränkt die Verwendbarkeit derzeit noch “etwas” ein, aber je nach Anforderung und Umgebung kann SNI (zukünftig) eine Option sein.

Nachtrag: Ein IE6 unter Windows XP SP3 tut auch, unter SP2 jedoch nicht.