Hallo, Ulrich Hiller <hiller@mpia-hd.mpg.de> writes:
wir haben's mit tls_certfile und mit tls_cert (wie es in manchen Dokumentationen steht) probiert. Ohne Erfolg.
Das Argument pro oder contra tls_certdir ist, ob das CA certificate auch als Hashwert im ssl Verzeichnis vorhanden ist, häufig wird bei privaten CA's vergesssen c_hash aufzurufen.
die TLS-spezifischen Dinge im slapd.conf sind:
TLSCACertificateFile /PFAD/xxxxxxx.pem TLSCertificateFile /PFAD/xxxxxxxxxx.pem TLSCertificateKeyFile /PFAD/xxxxxxxxx.key
unten kommt nochmal das ganze slapd.conf
Ja, der CN im Subject des Serverzertifikats entspricht dem vollständigen Hostnamen
Nach meiner unbedeutenden Ansicht liegt das Problem darin wie der nscd mit dem tls umgeht. Denn wenn ich nscd abschalte, tut es. Oder leige ich falsch?
Der Name Service Cache Daemon stellt keine Verbindung zu LDAP her sondern cached nur die Ergebnisse. Letztlich sind es die Pam-Module und C-Funktionen, die nsswitch.conf auswerten. Aber prinzipiell sollte nscd abgeschaltet werden, wenn nsswitch.conf auf LDAP verweist. Es macht keinen Sinn, alte Daten, die ja teilweise 10 Minuten alt sind, zu verwenden. Ich würde slapd mal im Debugging-Modus 3 starten, also 'slapd -h ldap:/// -F /etc/openldap/slapd.d -o ldap -g ldap -d3' Dann sieh dir mal die ganzen tls Meldungen an.
access to dn.subtree="ou=xxxxx,o=xxxxx" attrs=userPassword by anonymous auth by * none
access to dn.subtree="ou=xxxxx,o=xxxxx" attrs=userPassword,sambaNTPassword,sambaLMPassword by dn="uid=xxxxxx,ou=xxxxx,o=xxxxx" read by self write by anonymous auth by * none
Dies Access-Regeln sind zwar nicht relevant für das nsswitch Problem, aber trotzdem können sie auf andere Weise zu Problemen führen, denn es wird nur der erste Regelsatz ausgewertet, das Passwort kann also nicht verändert werden. -Dieter -- Dieter Klünter | Systemberatung sip: 7770535@sipgate.de http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org