This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
cn:ccr:aai:howto:389ds-1.3-install-rhel7 [2018/03/01 16:16] anzel@infn.it |
cn:ccr:aai:howto:389ds-1.3-install-rhel7 [2022/04/21 06:27] (current) monducci@infn.it [Reset password Directory Manager tramite socket] |
||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== RHEL7: Installazione di 389 Directory Server 1.3.6 e successive ====== | ||
+ | //ultima verifica documento: 22 feb. 2018// | ||
+ | |||
+ | |||
+ | ** NOTA BENE ** | ||
+ | Gli esempi citati in questa guida si intendono per 389 Directory Server 1.3.6.x e successive su CentOS 7.x | ||
+ | |||
+ | In caso di installazione con diverse versioni alcuni path o nomi dei pacchetti potrebbero differire. | ||
+ | |||
+ | // E’ inoltre vivamente consigliato che IP address, IP Name e Hostname della macchina siano coerenti. // | ||
+ | |||
+ | | ||
+ | |||
+ | ed eventualmente | ||
+ | |||
+ | | ||
+ | |||
+ | ===== Componenti del 389-ds ===== | ||
+ | |||
+ | Il 389-DS è composto da vari pacchetti che si possono installare separatamente | ||
+ | |||
+ | * 389-ds-base (e relative librerie) la cui versione è la 1.3 e si trova nel repository " | ||
+ | * 389-admin (e relative utilities) la cui versione è la 1.1 ed ha il 389-ds-base tra le sue dipendenze. Si trova nel repository EPEL | ||
+ | * 389-ds-console la cui versione è la 1.2 ed ha il 389-admin (e quindi anche il 389-ds-base) tra le sue dipendenze. Si trova nel repository EPEL | ||
+ | * 389-dsgw la cui versione è la 1.1 ed ha il 389-admin (e quindi anche il 389-ds-base) tra le sue dipendenze. Si trova nel repository EPEL | ||
+ | * 389-ds la cui versione è la 1.2 e contiene tutti i pacchetti di cui sopra. | ||
+ | |||
+ | In linea di principio non è necessario avere tutti i pacchetti su tutti i server (basta un solo server con 389-ds-console e 389-admin). Noi installeremo tutto su tutti per due motivi: | ||
+ | - E' utile avere sempre una console funzionante | ||
+ | - La configurazione di SSL/TLS sulla console | ||
+ | |||
+ | |||
+ | |||
+ | ===== Preparazione del sistema ===== | ||
+ | |||
+ | |||
+ | |||
+ | Modificare i parametri kernel in / | ||
+ | |||
+ | echo " | ||
+ | echo " | ||
+ | echo " | ||
+ | echo " | ||
+ | |||
+ | Ricaricare sysctl: | ||
+ | |||
+ | sysctl --system | ||
+ | | ||
+ | Modificare i limits in / | ||
+ | |||
+ | echo "* soft nofile 32768" >> / | ||
+ | echo "* hard nofile 63536" >> / | ||
+ | echo "* soft nproc 4096" >> / | ||
+ | echo "* hard nproc 16384" >> / | ||
+ | |||
+ | Effettuare log-out e log-in in modo da ricaricare i limits. | ||
+ | |||
+ | Installare cyrus-sasl e le librerie necessarie per INFN-AAI | ||
+ | |||
+ | yum -y install cyrus-sasl cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-plain cyrus-sasl-lib | ||
+ | |||
+ | |||
+ | Installazione del client LDAP standard di Linux: | ||
+ | yum -y install openldap-clients | ||
+ | |||
+ | ===== Firewall ===== | ||
+ | |||
+ | L' | ||
+ | |||
+ | firewall-cmd --permanent --add-port=389/ | ||
+ | firewall-cmd --permanent --add-port=636/ | ||
+ | firewall-cmd --permanent --add-port=9830/ | ||
+ | |||
+ | E renderle attive facendo ripartire il servizio | ||
+ | |||
+ | firewall-cmd --reload | ||
+ | |||
+ | |||
+ | ===== Installazione 389-ds ===== | ||
+ | |||
+ | |||
+ | Abilitare il repository yum EPEL | ||
+ | |||
+ | yum -y install epel-release | ||
+ | yum clean all | ||
+ | |||
+ | Inatallare il 389-DS con tutte le sue dipendenze | ||
+ | |||
+ | yum -y install 389-ds | ||
+ | |||
+ | |||
+ | Modificare i limits che sistema assegna al processo, modificando il file / | ||
+ | |||
+ | echo " | ||
+ | echo " | ||
+ | |||
+ | Rendere effettive le modifiche facendo ricaricare le configurazioni dal daemon di systemctl | ||
+ | |||
+ | systemctl daemon-reload | ||
+ | |||
+ | |||
+ | ===== Setup di 389-ds ===== | ||
+ | |||
+ | Creare l’utente ds: | ||
+ | |||
+ | useradd -r -s /bin/false ds | ||
+ | |||
+ | |||
+ | Lanciare il setup di 389-ds | ||
+ | |||
+ | / | ||
+ | |||
+ | Scegliere l’opzione 3 in modo da personalizzare l’installazione: | ||
+ | * Configurare come utente/ | ||
+ | * Controllare il root suffix; | ||
+ | * Tutto il resto può essere lasciato al default. | ||
+ | |||
+ | ** Attenzione **: In questa fase verra' chiesto il nome dell' | ||
+ | |||
+ | < | ||
+ | echo ' | ||
+ | source ~/ | ||
+ | </ | ||
+ | |||
+ | Impostare la partenza dei servizi di 389-ds al boot | ||
+ | |||
+ | systemctl enable dirsrv.target | ||
+ | systemctl enable dirsrv-admin.service | ||
+ | |||
+ | Fermare 389ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl stop dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | |||
+ | ===== Directory Manager password | ||
+ | |||
+ | E' utile memorizzare la password del Directory Manager in un file accessibile solo a root: | ||
+ | |||
+ | echo "< | ||
+ | chmod 400 / | ||
+ | |||
+ | |||
+ | ===== 389 Directory Server Console ===== | ||
+ | |||
+ | Da questo momento e' possibile lanciare la console di gestione del Directory Server, attraverso la quale e' possibile fare ogni tipo di configurazione e gestire i dati della Directory. | ||
+ | |||
+ | Per eseguire la console (a Directory Server attivo): | ||
+ | |||
+ | 389-console -x nologo -a http:// | ||
+ | |||
+ | |||
+ | ===== Performance ===== | ||
+ | |||
+ | |||
+ | Per migliorare le performance di 389ds, secondo le istruzioni della [[https:// | ||
+ | |||
+ | Questo si può effettuare modificando il file ''/ | ||
+ | |||
+ | < | ||
+ | sed -i ' | ||
+ | sed -i 's/^#* *ulimit -n.*$/ | ||
+ | </ | ||
+ | |||
+ | (nota: i parametri nsslapd-maxdescriptors e nsslapd-reservedescriptors non sono rportati per default nel file dse.ldif perche' | ||
+ | |||
+ | |||
+ | Eliminare il limite di entry nelle ricerche | ||
+ | |||
+ | < | ||
+ | sed -i ' | ||
+ | sed -i ' | ||
+ | </ | ||
+ | |||
+ | |||
+ | Definire la quantità di RAM che viene assegnata alle cache (vedi nota tra le FAQ a fine pagina) | ||
+ | |||
+ | < | ||
+ | sed -i ' | ||
+ | </ | ||
+ | |||
+ | Far ripartire 389ds e verificare lo stato del servizio | ||
+ | systemctl start dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | Controllare che il limite "Max open files" sia effettivo: | ||
+ | cat / | ||
+ | |||
+ | |||
+ | |||
+ | ===== Modifica dello schema ===== | ||
+ | |||
+ | Fermare 389ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl stop dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | |||
+ | === Schema per supporto autofs e nis === | ||
+ | |||
+ | |||
+ | Attivare lo schema rfc2307bis ([[https:// | ||
+ | |||
+ | rm -f / | ||
+ | cp -p / | ||
+ | |||
+ | |||
+ | Disabilitare la definizione della ObjectClass nisMap (OID 1.3.6.1.1.1.2.13) dallo schema rfc2307 (in quanto è incompatibile con quella dello schema rfc2307bis) | ||
+ | |||
+ | sed -i ' | ||
+ | |||
+ | |||
+ | |||
+ | === Estensione schema per INFN-AAI e federazioni === | ||
+ | |||
+ | |||
+ | Scaricare gli schema personalizzati INFN-AAI: | ||
+ | |||
+ | cd / | ||
+ | curl http:// | ||
+ | curl http:// | ||
+ | curl http:// | ||
+ | chown ds:ds 98infn.ldif 97schac.ldif 61edumember.ldif | ||
+ | chmod 440 98infn.ldif 97schac.ldif 61edumember.ldif | ||
+ | |||
+ | |||
+ | Far ripartire 389ds e verificare lo stato del servizio | ||
+ | systemctl start dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | ===== Configurazione SSL/TLS per il Directory Server ===== | ||
+ | |||
+ | **NOTA**: In coda al documento e' disponibile in alternativa la procedura grafica per la Configurazione SSL/TLS. | ||
+ | |||
+ | Fermare il 389DS e verificare lo stato del servizio | ||
+ | |||
+ | systemctl stop dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | Impostare la password per il DB dei certificati | ||
+ | |||
+ | cd / | ||
+ | modutil -dbdir . -changepw "NSS Certificate DB" | ||
+ | |||
+ | Creare un il file con la password del DB dei certificati: | ||
+ | |||
+ | cd / | ||
+ | vi pin.txt | ||
+ | |||
+ | Inserire: | ||
+ | |||
+ | Internal (Software) Token: | ||
+ | |||
+ | Impostare i permessi: | ||
+ | |||
+ | chown ds:ds pin.txt | ||
+ | chmod 600 pin.txt | ||
+ | |||
+ | Far ripartire 389ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl start dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | | ||
+ | |||
+ | Convertire il certificato con chiave privata del server in formato pkcs12 in un file temporaneo. **Non impostare una password**. | ||
+ | |||
+ | openssl pkcs12 -export -inkey ds_server_key.pem -in ds_server_crt.pem -out / | ||
+ | |||
+ | Importare il certificato con chiave privata del server nel DB di 389-ds. Verrà richiesto di inserire la password per l' | ||
+ | |||
+ | cd / | ||
+ | pk12util -i / | ||
+ | rm / | ||
+ | |||
+ | |||
+ | E' necessario importare nel DB dei certificati **TUTTI** i certificati delle CA dalle quali ci serviamo. | ||
+ | |||
+ | Le istruzioni sono in [[cn: | ||
+ | |||
+ | Verificare quindi che nel "NSS Certificate DB" ci siano tutti i certificati | ||
+ | |||
+ | certutil -d / | ||
+ | |||
+ | Configurare il client ldap di default di linux (openldap) inserendo la chiave pubblica della CA nella directory / | ||
+ | |||
+ | cacertdir_rehash / | ||
+ | |||
+ | Impostare la directory anche nella configurazione del client ldap: | ||
+ | |||
+ | echo " | ||
+ | |||
+ | |||
+ | |||
+ | Far ripartire 389-ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl restart dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | |||
+ | | ||
+ | ===== Abilitare l' | ||
+ | |||
+ | Se non già attiva, far partire la console | ||
+ | |||
+ | | ||
+ | |||
+ | Nel primo tab " | ||
+ | |||
+ | Abilitare le opzioni " | ||
+ | Assicurarsi che in Certificate ci sia " | ||
+ | |||
+ | |||
+ | Far ripartire 389-ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl restart dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | |||
+ | ===== Configurazione Mapping dei certificati x509 ===== | ||
+ | |||
+ | Per consentire l’autenticazione con certificati x509 è necessario configurare un mapping tra i subject dei certificati e le entry del DS. | ||
+ | |||
+ | Nel file / | ||
+ | |||
+ | certmap default | ||
+ | default: | ||
+ | |||
+ | |||
+ | Far ripartire 389-ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl restart dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | |||
+ | |||
+ | ===== Configurazione Kerberos client ===== | ||
+ | |||
+ | Installare il client Kerberos sui server LDAP | ||
+ | |||
+ | yum -y install krb5-workstation | ||
+ | | ||
+ | |||
+ | Modificare opportunamente il file di configurazione / | ||
+ | |||
+ | * nella stanza [libdefaults] | ||
+ | * e' consigliato fare sempre riferimento al DNS | ||
+ | * per compatibilita' | ||
+ | |||
+ | | ||
+ | | ||
+ | | ||
+ | |||
+ | * è inoltre necessario specificare il REALM di default che deve essere INFN.IT nel caso in cui la struttura NON abbia un REALM Kerberos locale. | ||
+ | |||
+ | default_realm = INFN.IT | ||
+ | |||
+ | * Ovviamente, nel caso di server LDAP installato in una sede con REALM Kerberos locale, deve essere indicato tale REALM e, per permettere l' | ||
+ | |||
+ | default_realm = LE.INFN.IT | ||
+ | |||
+ | * nella stanza [realms] specificare le informazioni relativi al realm di default; nel caso del realm INFN.IT le informazioni da riportare sono le seguenti: | ||
+ | |||
+ | [realms] | ||
+ | INFN.IT = { | ||
+ | kdc = afs2.infn.it: | ||
+ | kdc = afs1.infn.it: | ||
+ | kdc = afs3.infn.it: | ||
+ | kdc = k5.infn.it: | ||
+ | | ||
+ | | ||
+ | | ||
+ | } | ||
+ | |||
+ | |||
+ | * nella stanza [domain_realm], | ||
+ | |||
+ | [domain_realm] | ||
+ | .infn.it = INFN.IT | ||
+ | infn.it | ||
+ | .le.infn.it = LE.INFN.IT | ||
+ | le.infn.it | ||
+ | .lnf.infn.it = LNF.INFN.IT | ||
+ | lnf.infn.it | ||
+ | .pi.infn.it = PI.INFN.IT | ||
+ | pi.infn.it | ||
+ | .lngs.infn.it = LNGS.INFN.IT | ||
+ | lngs.infn.it | ||
+ | .mi.infn.it = MI.INFN.IT | ||
+ | mi.infn.it | ||
+ | .mib.infn.it = MI.INFN.IT | ||
+ | mib.infn.it | ||
+ | |||
+ | |||
+ | ===== Configurazione SASL / GSSAPI ===== | ||
+ | |||
+ | Installare il pacchetto che permette l' | ||
+ | yum install cyrus-sasl-gssapi.x86_64 | ||
+ | |||
+ | Generare il krb5 keytab di servizio (via warc o con modalita' | ||
+ | |||
+ | Assicurarsi che solo l’utente ds possa accedervi: | ||
+ | chown ds / | ||
+ | chmod 400 / | ||
+ | | ||
+ | Aggiungere al file / | ||
+ | |||
+ | echo " | ||
+ | | ||
+ | Nella Management Console definire i SASL Mapping: | ||
+ | * Nel primo tab " | ||
+ | * Si aprirà la Management Console | ||
+ | * Cliccare sul tab " | ||
+ | * Cliccare sul nome del server a sinistra e a destra scegliere il tab "SASL Mapping" | ||
+ | * Selezionare e cancellare (tasto Delete) le regole esistenti. | ||
+ | |||
+ | |||
+ | **Fermare** 389ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl stop dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | |||
+ | Aggiungere le seguenti righe al file ''/ | ||
+ | |||
+ | < | ||
+ | dn: cn=20-krb5_people_default_realm, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | cn: 20-krb5_people_default_realm | ||
+ | nsSaslMapRegexString: | ||
+ | nsSaslMapBaseDNTemplate: | ||
+ | nsSaslMapFilterTemplate: | ||
+ | |||
+ | dn: cn=20-krb5_people_other_realm, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | cn: 20-krb5_people_other_realm | ||
+ | nsSaslMapRegexString: | ||
+ | nsSaslMapBaseDNTemplate: | ||
+ | nsSaslMapFilterTemplate: | ||
+ | |||
+ | dn: cn=30-krb5_services_default, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | cn: 30-krb5_services_default_realm | ||
+ | nsSaslMapRegexString: | ||
+ | nsSaslMapBaseDNTemplate: | ||
+ | nsSaslMapFilterTemplate: | ||
+ | |||
+ | dn: cn=30-krb5_services_other_realm, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | cn: 30-krb5_services_other_realm | ||
+ | nsSaslMapRegexString: | ||
+ | nsSaslMapBaseDNTemplate: | ||
+ | nsSaslMapFilterTemplate: | ||
+ | |||
+ | dn: cn=40-krb5_hosts_default_realm, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | cn: 40-krb5_hosts_default_realm | ||
+ | nsSaslMapRegexString: | ||
+ | nsSaslMapBaseDNTemplate: | ||
+ | nsSaslMapFilterTemplate: | ||
+ | |||
+ | dn: cn=40-krb5_hosts_other_realm, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | cn: 40-krb5_hosts_other_realm | ||
+ | nsSaslMapRegexString: | ||
+ | nsSaslMapBaseDNTemplate: | ||
+ | nsSaslMapFilterTemplate: | ||
+ | |||
+ | |||
+ | </ | ||
+ | |||
+ | **Fare attenzione a lasciare una riga vuota alla fine del file** | ||
+ | |||
+ | Far ripartire 389-ds e verificare lo stato del servizio | ||
+ | |||
+ | systemctl restart dirsrv.target ; systemctl status dirsrv@$DSUID.service | ||
+ | |||
+ | ===== Configurazione plugin Kerberos Password back-end ===== | ||
+ | |||
+ | |||
+ | Per compilare e configurare il plugin Kerberos5 per 389-ds eseguire le seguenti operazioni: | ||
+ | |||
+ | Installare il compilatore, | ||
+ | |||
+ | yum install gcc krb5-devel 389-ds-base-devel libss-devel git | ||
+ | |||
+ | * Ottenere il codice sorgente | ||
+ | |||
+ | git clone https:// | ||
+ | |||
+ | * Compilare ed installare | ||
+ | |||
+ | < | ||
+ | <font color=" | ||
+ | 22/2/2018: Rilevato e risolto problema di compilazione.< | ||
+ | In attesa che la modifica sia riportata nel pacchetto disponibile su //baltig// e' necessario | ||
+ | aggiungere -DHAVE_INTTYPES_H alla stringa di definizione degli CFLAGS nel Makefile, che dovra' quindi essere la seguente: | ||
+ | |||
+ | CFLAGS = -Wall -fPIC $(INCLUDE_FLAGS) -ggdb -DKRB5PLUGIN -D_REENTRANT -DHAVE_INTTYPES_H | ||
+ | |||
+ | Compilato con questi CFLAGS ed installato, funziona regolarmente. | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | |||
+ | cd 389ds-krb5-plugin | ||
+ | make clean | ||
+ | make | ||
+ | make install | ||
+ | |||
+ | |||
+ | ===== INFN-AAI ===== | ||
+ | |||
+ | Pe poter ricevere la replica del ramo nazionale DC=INFN, | ||
+ | * il FQDN del vostro nuovo server LDAP | ||
+ | * la password dell' | ||
+ | |||
+ | Una volta configurate, | ||
+ | |||
+ | |||
+ | |||
+ | ===== FAQ ===== | ||
+ | |||
+ | ==== " | ||
+ | |||
+ | cd ~ | ||
+ | yum remove " | ||
+ | rm -rf /etc/dirsrv / | ||
+ | | ||
+ | ==== Modificare la password di CN=" | ||
+ | |||
+ | Istruzioni disponibili nel [[http:// | ||
+ | |||
+ | |||
+ | ==== ERRORE " | ||
+ | |||
+ | attrcrypt_unwrap_key: | ||
+ | |||
+ | https:// | ||
+ | |||
+ | |||
+ | ==== Verificare che il keytab sia quello corretto ==== | ||
+ | |||
+ | kinit -k -t / | ||
+ | klist | ||
+ | |||
+ | |||
+ | ==== Tuning RAM da assegnare alla Cache ==== | ||
+ | |||
+ | Il 389 Directory Server può valutare le dimensioni della cache ottimizzandole rispetto alle risorse hardware. A partire dalla versione 10.1.1 di RedHat Enterprise Directory Server (che corrisponde alla versione 1.3.? di 389DS) tale funzionalità è abilitata per default. | ||
+ | |||
+ | Come si può leggere | ||
+ | |||
+ | * nsslapd-cache-autosize | ||
+ | * nsslapd-cache-autosize-split | ||
+ | |||
+ | ed i loro valori di default, definiti all' | ||
+ | |||
+ | cn=config, | ||
+ | | ||
+ | sono: | ||
+ | |||
+ | nsslapd-cache-autosize: | ||
+ | nsslapd-cache-autosize-split: | ||
+ | | ||
+ | Il primo indica la percentuale di RAM libera (libera in fase di startup del 389DS) da dedicare alle cache (database-cache ed entry-cache) mentre il secondo indica la percentuale di cache da dedicare al database-cache (il complemento a 100 sarà assegnato all' | ||
+ | |||
+ | Date le dimensioni dell' | ||
+ | |||
+ | systemctl stop dirsrv.target | ||
+ | sed -i ' | ||
+ | systemctl start dirsrv.target | ||
+ | systemctl status dirsrv@$DSUID.service -l | ||
+ | |||
+ | e nel log si può vedere se questa assegnazione di RAM è sufficiente: | ||
+ | |||
+ | ...omissis... - NOTICE - ldbm_back_start - found 3882016k physical memory | ||
+ | ...omissis... - NOTICE - ldbm_back_start - found 3399568k available | ||
+ | ...omissis... - NOTICE - ldbm_back_start - cache autosizing: db cache: 465841k | ||
+ | ...omissis... - NOTICE - ldbm_back_start - cache autosizing: NetscapeRoot entry cache (2 total): 393216k | ||
+ | ...omissis... - NOTICE - ldbm_back_start - cache autosizing: infn-db entry cache (2 total): 393216k | ||
+ | ...omissis... - NOTICE - ldbm_back_start - total cache size: 1207895588 B; | ||
+ | ...omissis... - INFO - dblayer_start - Resizing db cache size: 127205900 -> 381617700 | ||
+ | ...omissis... - INFO - slapd_daemon - slapd started. | ||
+ | ...omissis... - INFO - slapd_daemon - Listening on All Interfaces port 636 for LDAPS requests | ||
+ | |||
+ | Nel caso in cui l' | ||
+ | |||
+ | ...omissis... - NOTICE - ldbm_back_start - infn-db: entry cache size 134217728 B is less than db size 153378816 B; We recommend to increase the entry cache size nsslapd-cachememsize. | ||
+ | |||
+ | |||
+ | ==== Configurazione SSL/TLS per il Directory Server - Procedura grafica ==== | ||
+ | |||
+ | Documentazione originale in [[https:// | ||
+ | |||
+ | E' necessario installare il certificato per il 389-DS e quello della CA che lo ha firmato, nel DB dei certificati. | ||
+ | |||
+ | |||
+ | Far partire la console | ||
+ | |||
+ | 389-console -x nologo -a http:// | ||
+ | |||
+ | Nel primo tab " | ||
+ | |||
+ | Andare in Console -> tab " | ||
+ | |||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | Tramite il tasto " | ||
+ | |||
+ | {{: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | Inviare la richiesta di certificato alla propria CA ed installare il certificato firmato | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Installare il certificato della CA che ha firmato il certificato del 389-DS | ||
+ | |||
+ | 389-console -x nologo -a http:// | ||
+ | |||
+ | Nel primo tab " | ||
+ | |||
+ | Andare in Console -> tab Tasks -> Manager Certificates -> tab CA Certs | ||
+ | Tramite il tasto " | ||
+ | |||
+ | |||
+ | ==== " | ||
+ | |||
+ | cd ~ | ||
+ | yum remove " | ||
+ | rm -rf /etc/dirsrv / |