Hallo, Ulrich Hiller <hiller@mpia-hd.mpg.de> writes:
Hallo, hier ist jetzt der debug output vom ldap server mit -d384. Was mir auffällt ist (TLS negotiation failure) und später TLS established Aber sonst? Im client kommt nachwievor nss_ldap: could not search LDAP server - Server is unavailable gkr-pam: error looking up user information for: [hier steht der Benutzername] User not known to the underlying authentication module Gruß, Ulrich
================================================= Jul 21 15:09:57 ldap-server slapd[81273]: slapd starting
Jul 21 15:10:08 ldap-server slapd[81273]: conn=1007 fd=21 ACCEPT from IP=nnn.nnn.nnn.nnn:51789 (IP=0.0.0.0:389) Jul 21 15:10:08 ldap-server slapd[81273]: conn=1007 op=0 EXT oid=1.3.6.1.4.1.1466.20037 Jul 21 15:10:08 ldap-server slapd[81273]: conn=1007 op=0 STARTTLS Jul 21 15:10:08 ldap-server slapd[81273]: conn=1007 op=0 RESULT oid= err=0 text= Jul 21 15:10:08 ldap-server slapd[81273]: conn=1007 fd=21 closed (TLS negotiation failure)
OK, ich kenne die Client-Konfiguration nicht, aber es wird ein startTLS auf Port 389 versucht, aufgrund einer Unstimmigkeit der Zertifikate, wird die startTLS Operation abgebrochen. Wenn nun in der Client-konfiguration steht: 'TLS_REQCERT try' oder 'allow', wird die Sitzung ohne TLS forgesetzt. Die Logs zeigen ja auch ein erfolgreiches Rebind als User. [...]
Jul 21 15:10:11 ldap-server slapd[81273]: conn=1011 op=3 BIND dn="uid=[Benutzername],ou=xxxxx,o=xxxxx" mech=SIMPLE ssf=0 Jul 21 15:10:11 ldap-server slapd[81273]: conn=1011 op=3 RESULT tag=97 err=0 text= [...]
Wenn nun nss_ldap trotzdem meldet, dass 'Server unavailable ist, dass liegt es an der nss_ldap Konfiguration. Ich vermute, dass irgendwo in /etc/ldap.conf der URI ldaps:/// steht, das bedeutet eine TLS-Session über Port 636, während startTLS eine TLS-Session über Port 389 ist. Prüfe die Zertifikate und die Konfiguration auf richtige Session-Initiierung. -Dieter -- Dieter Klünter | Systemberatung sip: 7770535@sipgate.de http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org