Mailinglist Archive: opensuse-multimedia-de (25 mails)
| < Previous | Next > |
[opensuse-multimedia-de] 10.2 + openLDAP + TLS Problem
- From: Thomas Pries <thomas@xxxxxxxxxxxxxxx>
- Date: Wed, 1 Aug 2007 16:18:47 +0200
- Message-id: <200708011618.47316.thomas@xxxxxxxxxxxxxxx>
Hallo,
ich bin gerade dabei mit Hilfe von [1] und verschiedenen Quellen aus dem Netz
einen LDAP-Server unter SuSE 10.2 zu konfigurieren.
Bis jetzt hat auch alles ganz gut geklappt, aber mit TLS gibt es Probleme und
ich habe keine Idee, wo ich den Fehler suchen soll.
Also:
1) Server- und User-Zertifikate erzeugt (keine Probleme)
2) /etc/openldap/slap.conf.v3:
TLSCertificateFile /etc/openldap/certs/newcert.pem
TLSCertificateKeyFile /etc/openldap/certs/ldapkey.pem
TLSCACertificateFile /etc/openldap/certs/cacert.pem
TLSVerifyClient demand
3) /etc/openldap/ldap.conf:
TLS_CACERT /etc/openldap/certs/cacert.pem
TLS_REQCERT demand
4) /home/ckent/.ldaprc:
TLS_CERT /home/ckent/.certs/clarkkent_cert.pem
TLS_KEY /home/ckent/.certs/clarkkent_ldapkey.pem
5) Konfiguration konvertiert
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/
rcldap start
6) als User ckent zum testen:
ldapsearch -x -ZZ -s base -b "" supportedSASLMechanisms
und
ldapsearch -Y EXTERNAL -ZZ uid=hcallahan -LLL
=> funktioniert wie erwartet
So weit so gut. Nach einen Reboot (bzw rcldap restart) scheiter
ldapsearch ....
mit der Fehlermeldung:
ldap_start_tls: Connect error (-11)
additional info: error:14077410:SSL
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
und nach einem
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/
rcldap start
funktioniert es wieder. Sieht nach einem Zertifikat-Problem aus, die meisten
google-Ergebnisse gehen auch in diese Richtung aber irgend wie sehe ich da
keinen rechten Ansatzpunkt für mich.
Hat jemand einen Tipp für mich, wo ich das Problem suchen könnte?
Gruß
Thomas
[1]: O. Liebel, J. M. Ungar; OpenLDAP ...
---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-multimedia-de+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-multimedia-de+help@xxxxxxxxxxxx
ich bin gerade dabei mit Hilfe von [1] und verschiedenen Quellen aus dem Netz
einen LDAP-Server unter SuSE 10.2 zu konfigurieren.
Bis jetzt hat auch alles ganz gut geklappt, aber mit TLS gibt es Probleme und
ich habe keine Idee, wo ich den Fehler suchen soll.
Also:
1) Server- und User-Zertifikate erzeugt (keine Probleme)
2) /etc/openldap/slap.conf.v3:
TLSCertificateFile /etc/openldap/certs/newcert.pem
TLSCertificateKeyFile /etc/openldap/certs/ldapkey.pem
TLSCACertificateFile /etc/openldap/certs/cacert.pem
TLSVerifyClient demand
3) /etc/openldap/ldap.conf:
TLS_CACERT /etc/openldap/certs/cacert.pem
TLS_REQCERT demand
4) /home/ckent/.ldaprc:
TLS_CERT /home/ckent/.certs/clarkkent_cert.pem
TLS_KEY /home/ckent/.certs/clarkkent_ldapkey.pem
5) Konfiguration konvertiert
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/
rcldap start
6) als User ckent zum testen:
ldapsearch -x -ZZ -s base -b "" supportedSASLMechanisms
und
ldapsearch -Y EXTERNAL -ZZ uid=hcallahan -LLL
=> funktioniert wie erwartet
So weit so gut. Nach einen Reboot (bzw rcldap restart) scheiter
ldapsearch ....
mit der Fehlermeldung:
ldap_start_tls: Connect error (-11)
additional info: error:14077410:SSL
routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
und nach einem
rcldap stop
/usr/lib/openldap/slapd -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/
rcldap start
funktioniert es wieder. Sieht nach einem Zertifikat-Problem aus, die meisten
google-Ergebnisse gehen auch in diese Richtung aber irgend wie sehe ich da
keinen rechten Ansatzpunkt für mich.
Hat jemand einen Tipp für mich, wo ich das Problem suchen könnte?
Gruß
Thomas
[1]: O. Liebel, J. M. Ungar; OpenLDAP ...
---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-multimedia-de+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-multimedia-de+help@xxxxxxxxxxxx
| < Previous | Next > |