Mailinglist Archive: opensuse-de (1184 mails)
| < Previous | Next > |
10.2 + LDAP + TLS
- From: Thomas Pries <thomas.pries@xxxxxxxxxxxxxxxxx>
- Date: Thu, 02 Aug 2007 11:04:47 +0200
- Message-id: <200708021104.47643.thomas.pries@gsaa.uni-halle.de>
Hallo,
ich bin gerade dabei mit Hilfe von [1] und verschiedenen
Quellen aus dem Netz einen LDAP-Server unter SuSE 10.2 zu
konfigurieren. Bis jetzt hat auch alles ganz gut geklappt,
aber mit TLS gibt es Probleme und ich habe keine Idee, wo
ich den Fehler suchen soll.
Also:
1) Server- und User-Zertifikate erzeugt (keine Probleme)
2) /etc/openldap/slap.conf.v3:
TLSCertificateFile /etc/openldap/certs/newcert.pem
TLSCertificateKeyFile /etc/openldap/certs/ldapkey.pem
TLSCACertificateFile /etc/openldap/certs/cacert.pem
TLSVerifyClient demand
3) /etc/openldap/ldap.conf:
TLS_CACERT /etc/openldap/certs/cacert.pem
TLS_REQCERT demand
4) /home/ckent/.ldaprc:
TLS_CERT /home/ckent/.certs/clarkkent_cert.pem
TLS_KEY /home/ckent/.certs/clarkkent_ldapkey.pem
5) Konfiguration konvertiert
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F
/etc/openldap/slapd.d/
rcldap start
6) als User ckent zum testen:
ldapsearch -x -ZZ -s base -b "" supportedSASLMechanisms
und
ldapsearch -Y EXTERNAL -ZZ uid=hcallahan -LLL
=> funktioniert wie erwartet
So weit so gut. Nach einen Reboot (bzw rcldap restart)
scheitert ldapsearch ... mit der Fehlermeldung:
ldap_start_tls: Connect error (-11)
additional info: error:14077410:SSL
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake
failure
und nach einem
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/
rcldap start
funktioniert es wieder. Sieht nach einem Zertifikat-Problem
aus, die meisten google-Ergebnisse gehen auch in diese
Richtung aber irgend wie sehe ich da keinen rechten
Ansatzpunkt für mich.
Hat jemand einen Tipp für mich, wo ich das Problem suchen
könnte?
Gruß
Thomas
[1]: O. Liebel, J. M. Ungar; OpenLDAP ..., GalileoComputing
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
ich bin gerade dabei mit Hilfe von [1] und verschiedenen
Quellen aus dem Netz einen LDAP-Server unter SuSE 10.2 zu
konfigurieren. Bis jetzt hat auch alles ganz gut geklappt,
aber mit TLS gibt es Probleme und ich habe keine Idee, wo
ich den Fehler suchen soll.
Also:
1) Server- und User-Zertifikate erzeugt (keine Probleme)
2) /etc/openldap/slap.conf.v3:
TLSCertificateFile /etc/openldap/certs/newcert.pem
TLSCertificateKeyFile /etc/openldap/certs/ldapkey.pem
TLSCACertificateFile /etc/openldap/certs/cacert.pem
TLSVerifyClient demand
3) /etc/openldap/ldap.conf:
TLS_CACERT /etc/openldap/certs/cacert.pem
TLS_REQCERT demand
4) /home/ckent/.ldaprc:
TLS_CERT /home/ckent/.certs/clarkkent_cert.pem
TLS_KEY /home/ckent/.certs/clarkkent_ldapkey.pem
5) Konfiguration konvertiert
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F
/etc/openldap/slapd.d/
rcldap start
6) als User ckent zum testen:
ldapsearch -x -ZZ -s base -b "" supportedSASLMechanisms
und
ldapsearch -Y EXTERNAL -ZZ uid=hcallahan -LLL
=> funktioniert wie erwartet
So weit so gut. Nach einen Reboot (bzw rcldap restart)
scheitert ldapsearch ... mit der Fehlermeldung:
ldap_start_tls: Connect error (-11)
additional info: error:14077410:SSL
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake
failure
und nach einem
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/
rcldap start
funktioniert es wieder. Sieht nach einem Zertifikat-Problem
aus, die meisten google-Ergebnisse gehen auch in diese
Richtung aber irgend wie sehe ich da keinen rechten
Ansatzpunkt für mich.
Hat jemand einen Tipp für mich, wo ich das Problem suchen
könnte?
Gruß
Thomas
[1]: O. Liebel, J. M. Ungar; OpenLDAP ..., GalileoComputing
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |