Am Mon, 27 Aug 2012 14:41:00 +0200 schrieb Bernd Nachtigall <bnacht@web.de>:
Am Montag, 27. August 2012 schrieb Dieter Klünter:
(...)
Aber das führt ja auch noch nicht zu Abbruch der Verbindung. Ich gehe mal davon aus, dass du OpenLDAP als Server benutzt, hast du da die Möglichkeit, slapd mit -d3 und -h "ldap:/// ldaps:///" zu starten? Kannst du dann mal die wichtigen tls Zeilen posten, nicht die Zeilen, wo die Zertifikate gelesen werden. Mich interessiert insbesondere der Handshake. Kein openLDAP, da ist ein eDir hinter.
Ich werde mal einen Trace der LDAP Anfrage machen.
Was könnte ich noch versuchen? (Ausser das Root-Zertifikat lokal abzulegen ;-)
(...)
Die einfachste Möglichkeit ist, die CA in der ldaprc einzubinden, falls du das noch nicht gemacht hast. Genau das wollte ich eigentlich nicht. Die Verbindung ist nur sporadisch und ich weiss ja, das es sich nicht um eine bekannte CA handelt.
Das spielt keine Rolle, ich verwende häufiger (auch bei großen Kunden) private CA's, die müssen nur im lokalen Netz verfügbar gemacht werden.
Mit welchen Parametern rufst du ldapsearch auf?
Mit vielen ;-)
#ldapsearch -d 1 -H ldaps://localhost:10636 -Z -D "cn=admin,o=org" -W -b "o=org" -s sub -a always -z 1000 "(objectClass=inetOrgPerson)" "telephoneNumber" "objectClass"
Mich wundert, dass du da eine Verbindung bekommst :-) ldaps:// ist OK, dann darf aber kein -Z benutzt werden. Hintergrund: ldaps wird über Port 636 bzw. bei dir Port 10636 initiiert, -Z führt startTLS über Port 389 aus, eigentlich sollte da der Error Code 2, protocolError kommen. Kurz ldaps und -Z gehen nicht zusammen.
Wenn das Ding so störrisch ist, werde ich mir wohl doch das Root-Zertifikat holen und es local ins Arbeitsverzeichnis kopieren.
Mich wurmt halt nur, das die Suche in einem LDAP-Browser geht. Der meldet einen Zertifikatsfehler und lässt einem die Wahl das Zertifikat trotzdem zu akzeptieren.
Das ist etwas anderes, der LDAP-Browser führt vermutlich kein StartTLS aus, sondern macht direkt ein Connect auf den Secure Port. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org