Am Sonntag, 26. August 2012 schrieb Dieter Klünter:
Am Thu, 16 Aug 2012 14:32:24 +0200
schrieb Bernd Nachtigall <bnacht@web.de>:
Hallo zusammen,
ich möchte ein ldapsearch gegen einen LDAP-Server mit einem 'ungüligen' Zertifikat machen. (unbekannte CA und Hostname passt nicht)
Per LDAP-Browser geht das. Ich muß halt bestätigen, dass das Zertifikat akzeptiert werden soll. Anschließend ist alles kein Problem
Per cli und ldapsearch geht das aber nicht. Ich finde keine Möglichkeit dass das Zertifikat akzeptiert wird.
Wo muss ich hingucken damit ich die Lösung finde?
Sieh dir die TLS OPTIONS in man ldap.conf(5) an. TLS_REQCERT never, sollte die Lösung sein, wenn auch nicht zu empfehlen.
-Dieter
Yepp, das sieht so aus, aber es hilft nicht weiter ;-) Das hatte ich schon drin, allerdings mit einigen anderen Optionen. Jetzt habe ich im Arbeitsverzeichnis eine neue, minimale ldaprc angelegt und die Variablen $LDAPNOINIT und $LDAPCONF gesetzt. Beim Aufruf mit -d 3 erhalte ich die Meldung: "Error, self signed certificate in certificate chain" Das möchte ich aber nicht als Fehler verstanden wissen. Ich weiss ja, das die CA eine selbst gebaute ist. Und das ist gut so und kein Fehler ;-) Vor der Fehlermeldung kommt noch die Meldung: "TLS certification verification: depth: 1," ... und zwar egal ob TLS_REQCERT auf 'never' oder auf 'allow' steht. Was könnte ich noch versuchen? (Ausser das Root-Zertifikat lokal abzulegen ;-) Bye Bernd PS: siehst Du das auch so, dass das Verhalten von openldap hier evtl. fehlerhaft ist? -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org