Historique de la page

Procédure pour mettre à jour le certificat SSL du LDAP SI sur HYGIE

Etape 1 : Connexion et chemin

...

Il faut remplacer le fichier ci-dessous sur chaque serveur : /etc/ldap/cacert.pem par le nouveau fichier généré (celui valide durant 100 ans)

Commencer par remplacer le certificat sur le serveur Puppet Master : toutatis . Les serveurs étant sur Puppet et ayant l'agent lancé seront automatiquement mis à jour.

Le fichier a remplacer sur la config Puppet est :

/etc/puppet/environment/production/modules/ldapclient/file/cacert.pem

Ne pas oublier de le pusher sur Git.

Ensuite, faire manuellement la modification (pour les serveurs non orchestrés via Puppet) ;

Conseil : copier le fichier cacert.pem sur votre /home/

Pour les serveurs étant liés au LDAP SI (cat /etc/ldap/ldap.conf et vérifier qu'ils sont linké à ldap.gadz.org) et ayant le point de montage NFS /home monté depuis Toutatis :

cp /home/arcadio/cacert.pem /etc/ldap/

Pour les serveurs étant liés au LDAP SI mais n'ayant pas le point de montage NFS /home monté depuis Toutatis :

scp arcadio@toutatis:/home/arcadio/cacert.pem /etc/ldap/

Remplacer toutatis par le fqdn toutatis.gorgu.net ou l'ip 172.16.1.2 si problèmes DNS ou key ssh

On peut vérifier la validité du certificat via :

openssl x509 -enddate -noout -in /etc/ldap/cacert.pem

Le résultat apparaît de la forme :

notAfter=Sep 8 20:24:48 2016 GMT

Etape 6 :

Relancer le service LDAP :service slapd restartl'instance LDAP SI sur Hygie :

/mnt/ldapsi-master/shell/exploit.sh stop

Puis :

/mnt/ldapsi-master/shell/exploit.sh start

Il faut également penser à relancer les services nscd et nslcd sur Hygie, Hestia et Toutatis pour éviter les mauvaises surprises :

service nscd restart
service nslcd restart