Ulrich Hiller <hiller@mpia-hd.mpg.de> writes:
Hallo, nach etlichen Tagen probieren muss ich doch nochmal auf das Thema ldap über tls auf opensuse 11.3 zurückkommen. Ich habe unten nochmal die /etc/ldap.conf ohne die auskommentiereten Zeilen. Ein URI ldaps:/// gibt es da nicht. (siehe unten) So war unsere client-Konfiguration bis opensuse 11.2. Ab 11.3 ist kein Einloggen über ldap mehr möglich. Mit 'getent passwd' bekomme ich aber trotzdem alle ldap-user angezeigt. Meldung im /var/log/messages bei Einlogversuchen:
nss_ldap: could not search LDAP server - Server is unavailable gkr-pam: error looking up user information for: [hier steht der Benutzername] User not known to the underlying authentication module
Es sei denn, ich schalte nscd ab oder schreibe ins /etc/ldap.conf "tls_checkpeer no". Dann tut es.
Was hat sich zwischen opensuse 11.2 und opensuse 11.3 geändert?
Hat jemand noch Ideen? (Und: ja, ich habe schon gegoogelt. Aber das hat mich alles nicht weiter gebracht)
Gruß und Dank für die bisherige Hilfe, Ulrich
/etc/ldap.conf:
base o=xxxxx uri ldap://unser.ldap.server ldap_version 3 port 389 bind_policy soft pam_lookup_policy yes pam_check_host_attr yes pam_password crypt ssl start_tls ldap_version 3 pam_filter objectclass=posixAccount nss_base_passwd ou=xxxxx,o=xxxxx nss_base_shadow ou=xxxxx,o=xxxxx nss_base_group ou=xxxxx,o=xxxxx tls_checkpeer yes tls_cacertdir /etc/ssl/certs ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Das Problem wird tls_cacertdir sein. Falls du eine eigene CA erstellt hast, nimm lieber tls_cacertfile /pfad/auf/cafile, zum Thema tls_checkpeer solltest du mal die TLS Parameter der slapd.conf mailen. Weiterhin solltest du prüfen, ob der CN im Subject des Serverzertifikats dem vollständigen Hostnamen entspricht. openssl x509 -in <certificate>.pem -text
-Dieter -- Dieter Klünter | Systemberatung sip: 7770535@sipgate.de http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org