Sven Gehr
Hallo,
ich glaube es geht voran.
schrieb Sven Gehr:
d.h ich muss den LDAP-Server einfach über die sysconfig auf Port 636 brinden? Muß dazu nicht das TLS/SLL funktionieren (was bei mir ja nicht der Fall ist). Oder mache ich hier nun einen Gedanklichen Fehler?
Ich habe den LDAP über sysconfig auf LDAPS = yes gesetzt. Habe anschließend alle Zertifikate und die CA komplett gelöscht. Danach habe ich den gesamten Vorgang (CA -newca, CA -newcert, CA -signcert und Passwort mit openssl rsa ... entfern).
$ openssl s_client -connect localhost:636 -showcerts Wwwenn das Kommando dann was sinnvolles anzeigt, wäre das doch schon ein Schritt in die richtige Richtung.
Wenn ich nun ein:
$ openssl s_client -connect localhost:636 -showcerts
aufrufen erhalte ich:
CONNECTED(00000003) depth=0 /C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver.kundennetz verify error:num=20:unable to get local issure certificate verify return:1 depth=0 /C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver.kundennetz verify error:num=21:unable to verify the first certificate
Da muß noch das CA Certificate mit depth=1 angezeigt werden.
--- Certificate chain 0 s:/C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver.kundennetz i:/C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver.kundennetz [...] Server certificate subject=/C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver.kundennetz issuer=/C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver.kundennetz --- No client certificate CA names sent --- [...]
Am Ende bleit es einfach stehen, ohne mir die Eingabeaufforderung zu zeigen. Ich habe dann einfach [Strg]+[c] gemacht.
Das ist normal und kein Fehler, es könnte ja sein, daß du weitere Eingaben machen möchtest. Der Fehler ist aber eindeutig, es fehlt cacert.pem, entweder stimmt die Konfiguration für TLSCACertificateFile in slapd.conf nicht, oder cacert.pem ist nicht lesbar für slapd. SuSE läßt ja slapd als User ldap Group ldap laufen, prüfe mal die Rechte. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de