История изменений
Исправление kbu, (текущая версия) :
Сертификат СА создавался по этому ману:
http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/certific...
сертификаты клиентов создавались так:
openssl req -new -newkey rsa:4096 -nodes -out pdc.csr -keyout pdc.key -subj «/C=DE/ST=NRW/L=City/O=firma/OU=BaculaPDC/CN=dus-pdc-01.nmedia.local-fd»
подписывал
openssl ca -in pdc.csr -config /etc/ssl/openssl.cnf
Google подсказал, что CN сертификата должен совпадать с Address из конфига Bacula.
Первый сертификат генерился для сервера где стоит директор бакулы.
openssl req -new -newkey rsa:4096 -nodes -out backup.csr -keyout backup.key -subj «/C=DE/ST=NRW/L=city/O=firma/OU=EDV/CN=dus-backup-01-dir»
соответствующий Address стоит в конфиге бакулы dus-backup-01-dir в секциях для Director
на всякий случай, такое же имя прописано в /etc/hosts
192.168.5.6 dus-backup-01.nmedia.local dus-backup-01 dus-backup-01-dir
С таким же именем внесены изменения в bconsole.conf, bacula-sd.conf,bacula-fd.conf - соединение работает, бекапы делаются. Это пока сам сервер и клиент на нем же.
Дальше ставлю новый клиент.
Генерю для него сертификат
openssl req -new -newkey rsa:4096 -nodes -out pdc.csr -keyout pdc.key -subj «/C=DE/ST=NRW/L=City/O=firma/OU=BaculaPDC/CN=dus-pdc-01.nmedia.local-fd»
/etc/hosts - на сервере бакулы
192.168.5.8 dus-pdc-01.nmedia.local-fd
/etc/hosts - на сервере клиенте
192.168.5.8 dus-pdc-01.nmedia.local-fd
конфиг клиента
Director {
Name = dus-backup-01-dir
Password = «pass»
TLS Certificate = /etc/bacula/certs/bacula.backup.crt
TLS Key = /etc/bacula/certs/backup.key
TLS CA Certificate File = /etc/ssl/certs/cacert.pem
TLS Enable = yes
TLS Require = yes
TLS Allowed CN = «dus-pdc-01.nmedia.local-fd»
TLS Allowed CN = «dus-pdc-01.nmedia.local»
TLS Allowed CN = «dus-pdc-01»
TLS Allowed CN = «dus-backup-01-dir»
}
FileDaemon { # this is me
Name = dus-pdc-01.nmedia.local-fd
FDport = 9102 # where we listen for the director
WorkingDirectory = /var/lib/bacula
Pid Directory = /var/run/bacula
Maximum Concurrent Jobs = 20
FDAddress = dus-pdc-01.nmedia.local-fd
TLS Certificate = /etc/bacula/certs/bacula.pdc.crt
TLS Key = /etc/bacula/certs/pdc.key
TLS CA Certificate File = /etc/ssl/certs/cacert.pem
TLS Enable = yes
TLS Require = yes
}
В конфиге соответственно в секции для директора стоит сертификат, который генерился для сервера директора и в секции FileDaemon стоит сертификат для клиента
Секция клиента на сервере бакулы, здесь тоже указан сертификат клиентский
Client {
565 Name = dus-pdc-01.nmedia.local-fd
566 Address = dus-pdc-01.nmedia.local-fd
567 FDPort = 9102
568 Catalog = MyCatalog
569 Password = «pass»
570 File Retention = 1 month
571 Job Retention = 1 month
572 AutoPrune = yes
573 Maximum Concurrent Jobs = 20
574 TLS Certificate = /etc/bacula/certs/bacula.pdc.crt
575 TLS Key = /etc/bacula/certs/pdc.key
576 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
577 TLS Enable = yes
578 TLS Require = yes
579 }
Надеюсь все подробно расписал. В качестве манов были:
http://blog.earth-works.com/2013/08/03/configuring-bacula-to-use-tls-to-encry... http://michael.stapelberg.de/Artikel/Bacula_TLS/
Исходная версия kbu, :
Сертификат СА создавался по этому ману:
http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/certific...
сертификаты клиентов создавались так:
openssl req -new -newkey rsa:4096 -nodes -out pdc.csr -keyout pdc.key -subj «/C=DE/ST=NRW/L=City/O=firma/OU=BaculaPDC/CN=dus-pdc-01.nmedia.local-fd»
подписывал
openssl ca -in pdc.csr -config /etc/ssl/openssl.cnf
Google подсказал, что CN сертификата должен совпадать с Address из конфига Bacula.
Первый сертификат генерился для сервера где стоит директор бакулы.
openssl req -new -newkey rsa:4096 -nodes -out backup.csr -keyout backup.key -subj «/C=DE/ST=NRW/L=city/O=firma/OU=EDV/CN=dus-backup-01-dir»
соответствующий Address стоит в конфиге бакулы dus-backup-01-dir в секциях для Director
на всякий случай, такое же имя прописано в /etc/hosts
192.168.5.6 dus-backup-01.nmedia.local dus-backup-01 dus-backup-01-dir
С таким же именем внесены изменения в bconsole.conf, bacula-sd.conf,bacula-fd.conf - соединение работает, бекапы делаются. Это пока сам сервер и клиент на нем же.
Дальше ставлю новый клиент.
Генерю для него сертификат
openssl req -new -newkey rsa:4096 -nodes -out pdc.csr -keyout pdc.key -subj «/C=DE/ST=NRW/L=City/O=firma/OU=BaculaPDC/CN=dus-pdc-01.nmedia.local-fd»
/etc/hosts - на сервере бакулы
192.168.5.8 dus-pdc-01.nmedia.local-fd
/etc/hosts - на сервере клиенте
192.168.5.8 dus-pdc-01.nmedia.local-fd
конфиг клиента
Director {
Name = dus-backup-01-dir
Password = «pass»
TLS Certificate = /etc/bacula/certs/bacula.backup.crt
TLS Key = /etc/bacula/certs/backup.key
TLS CA Certificate File = /etc/ssl/certs/cacert.pem
TLS Enable = yes
TLS Require = yes
TLS Allowed CN = «dus-pdc-01.nmedia.local-fd»
TLS Allowed CN = «dus-pdc-01.nmedia.local»
TLS Allowed CN = «dus-pdc-01»
TLS Allowed CN = «dus-backup-01-dir»
}
FileDaemon { # this is me
Name = dus-pdc-01.nmedia.local-fd
FDport = 9102 # where we listen for the director
WorkingDirectory = /var/lib/bacula
Pid Directory = /var/run/bacula
Maximum Concurrent Jobs = 20
FDAddress = dus-pdc-01.nmedia.local-fd
TLS Certificate = /etc/bacula/certs/bacula.pdc.crt
TLS Key = /etc/bacula/certs/pdc.key
TLS CA Certificate File = /etc/ssl/certs/cacert.pem
TLS Enable = yes
TLS Require = yes
}
В конфиге соответственно в секции для директора стоит сертификат, который генерился для сервера директора и в секции FileDaemon стоит сертификат для клиента
Секция клиента на сервере бакулы, здесь тоже указан сертификат клиентский
Client {
565 Name = dus-pdc-01.nmedia.local-fd
566 Address = dus-pdc-01.nmedia.local-fd
567 FDPort = 9102
568 Catalog = MyCatalog
569 Password = «pass»
570 File Retention = 1 month
571 Job Retention = 1 month
572 AutoPrune = yes
573 Maximum Concurrent Jobs = 20
574 TLS Certificate = /etc/bacula/certs/bacula.pdc.crt
575 TLS Key = /etc/bacula/certs/pdc.key
576 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
577 TLS Enable = yes
578 TLS Require = yes
579 }
Надеюсь все подробно расписал.