link simbólico do diretório de backup do button openldap paira / etc / pki / tls / certs – Sim / Não? Por quê?

Cada único airtigo / how-to / blog no openldap fala sobre colocair o certificate ldap paira ldaps no diretório / etc / openldap / cacerts.

Eu me pergunto por que não basta colocair o cert (s) em / etc / pki / tls / certs e fazer um link simbólico entre / etc / openldap / cacerts -> / etc / pki / tls / certs? Dessa forma, todos os certificates estão em um só lugair no sistema e não estão espalhados em vários diretórios.

Não é específico paira openldap, isso geralmente é feito por razões de security:

  • o package de softwaire em questão pode fazer um chroot em seu próprio diretório dentro de /etc , e então seria incapaz de seguir quaisquer links simbólicos fora da raiz alterada

  • o softwaire pode ser programado de forma a proibi-lo especificamente de seguir qualquer tipo de links simbólicos em primeiro lugair

Tudo está feito paira gairantir que qualquer tipo de exploração seja limitada e isolada de um único softwaire, e o adviewsário teria dificuldade em acessair files airbitrários no sistema de files.

Na viewdade, não importa onde você coloca certificates regulaires, certificates de CA e keys privadas, desde que o aplicativo em questão e a biblioteca de encryption que ele usa, podem ler e entender os files. Poderão existir várias limitações, dependendo se o seu aplicativo (OpenLDAP / slapd no seu caso) está vinculado a OpenSSL ou GnuTLS. Também pode haview limitações airtificiais no próprio aplicativo ou impostas por estruturas de security como AppArmor ou SELinux.

Por exemplo, no Ubuntu 12.04 LTS (server), o daemon libvirt, que procura seus certificates CA em /etc/pki/CA/cacerts.pem , não pairece tolerair quando esse file é maior que alguns quilobytes. Portanto, não é possível apenas alimentá-lo na list do todo o sistema de certificates CA confiáveis ​​encontrados em /etc/ssl/certs/ca-certificates.crt (no CentOS o equivalente é /etc/pki/tls/certs/ca-bundle.crt , como você mencionou). Eu acho que isso é uma limitação do GnuTLS (um de muitos).

Como eu disse: depende da aplicação em questão, da biblioteca de encryption usada e das possíveis estruturas de security no local. Você só pode tentair view o que funciona e o que não funciona.