Hallo, nach etlichen Tagen probieren muss ich doch nochmal auf das Thema ldap über tls auf opensuse 11.3 zurückkommen. Ich habe unten nochmal die /etc/ldap.conf ohne die auskommentiereten Zeilen. Ein URI ldaps:/// gibt es da nicht. (siehe unten) So war unsere client-Konfiguration bis opensuse 11.2. Ab 11.3 ist kein Einloggen über ldap mehr möglich. Mit 'getent passwd' bekomme ich aber trotzdem alle ldap-user angezeigt. Meldung im /var/log/messages bei Einlogversuchen: nss_ldap: could not search LDAP server - Server is unavailable gkr-pam: error looking up user information for: [hier steht der Benutzername] User not known to the underlying authentication module Es sei denn, ich schalte nscd ab oder schreibe ins /etc/ldap.conf "tls_checkpeer no". Dann tut es. Was hat sich zwischen opensuse 11.2 und opensuse 11.3 geändert? Hat jemand noch Ideen? (Und: ja, ich habe schon gegoogelt. Aber das hat mich alles nicht weiter gebracht) Gruß und Dank für die bisherige Hilfe, Ulrich /etc/ldap.conf: base o=xxxxx uri ldap://unser.ldap.server ldap_version 3 port 389 bind_policy soft pam_lookup_policy yes pam_check_host_attr yes pam_password crypt ssl start_tls ldap_version 3 pam_filter objectclass=posixAccount nss_base_passwd ou=xxxxx,o=xxxxx nss_base_shadow ou=xxxxx,o=xxxxx nss_base_group ou=xxxxx,o=xxxxx tls_checkpeer yes tls_cacertdir /etc/ssl/certs On 07/21/2010 06:29 PM, Dieter Kluenter wrote:
OK, ich kenne die Client-Konfiguration nicht, aber es wird ein startTLS auf Port 389 versucht, aufgrund einer Unstimmigkeit der Zertifikate, wird die startTLS Operation abgebrochen. Wenn nun in der Client-konfiguration steht: 'TLS_REQCERT try' oder 'allow', wird die Sitzung ohne TLS forgesetzt. Die Logs zeigen ja auch ein erfolgreiches Rebind als User.
Wenn nun nss_ldap trotzdem meldet, dass 'Server unavailable ist, dass liegt es an der nss_ldap Konfiguration. Ich vermute, dass irgendwo in /etc/ldap.conf der URI ldaps:/// steht, das bedeutet eine TLS-Session über Port 636, während startTLS eine TLS-Session über Port 389 ist. Prüfe die Zertifikate und die Konfiguration auf richtige Session-Initiierung.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org