wir haben's mit tls_certfile und mit tls_cert (wie es in manchen Dokumentationen steht) probiert. Ohne Erfolg. die TLS-spezifischen Dinge im slapd.conf sind: TLSCACertificateFile /PFAD/xxxxxxx.pem TLSCertificateFile /PFAD/xxxxxxxxxx.pem TLSCertificateKeyFile /PFAD/xxxxxxxxx.key unten kommt nochmal das ganze slapd.conf Ja, der CN im Subject des Serverzertifikats entspricht dem vollständigen Hostnamen Nach meiner unbedeutenden Ansicht liegt das Problem darin wie der nscd mit dem tls umgeht. Denn wenn ich nscd abschalte, tut es. Oder leige ich falsch? Gruß, ulrich slapd.conf: include /PFAD/core.schema include /PFAD/cosine.schema include /PFAD/inetorgperson.schema include /PFAD/nis.schema include /PFAD/qmail.schema include /PFAD/ibm-auxAccount.ldif include /PFAD/samba.schema include /PFAD/freeradius.schema include /PFAD/quota.schema TLSCACertificateFile /PFAD/xxxxxxx.pem TLSCertificateFile /PFAD/xxxxxxxxxx.pem TLSCertificateKeyFile /PFAD/xxxxxxxxx.key allow bind_v2 password-hash {**********} pidfile /PFAD/slapd.pid argsfile /PFAD/slapd.args modulepath /PFAD/openldap moduleload back_bdb access to dn.subtree="ou=xxxxx,o=xxxxx" attrs=userPassword by anonymous auth by * none access to dn.subtree="ou=xxxxx,o=xxxxx" attrs=userPassword,sambaNTPassword,sambaLMPassword by dn="uid=xxxxxx,ou=xxxxx,o=xxxxx" read by self write by anonymous auth by * none access to * by * read Loglevel 64 database bdb suffix "o=xxxxx" rootdn "cn=xxxxx,o=xxxxx" rootpw ************************** directory /PFAD/xxxxx index uniqueMember pres index objectClass eq index uid,cn,uidNumber,gidNumber,mail,memberUid,member,mailAlternateAddress,accountStatus eq updatedn "cn=xxxxx,o=xxxxx" On 07/29/2010 11:59 AM, Dieter Kluenter wrote:
Das Problem wird tls_cacertdir sein. Falls du eine eigene CA erstellt hast, nimm lieber tls_cacertfile /pfad/auf/cafile, zum Thema tls_checkpeer solltest du mal die TLS Parameter der slapd.conf mailen. Weiterhin solltest du prüfen, ob der CN im Subject des Serverzertifikats dem vollständigen Hostnamen entspricht. openssl x509 -in<certificate>.pem -text
-Dieter
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org