Am Montag, 27. August 2012 schrieb Dieter Klünter: (...)
Aber das führt ja auch noch nicht zu Abbruch der Verbindung. Ich gehe mal davon aus, dass du OpenLDAP als Server benutzt, hast du da die Möglichkeit, slapd mit -d3 und -h "ldap:/// ldaps:///" zu starten? Kannst du dann mal die wichtigen tls Zeilen posten, nicht die Zeilen, wo die Zertifikate gelesen werden. Mich interessiert insbesondere der Handshake. Kein openLDAP, da ist ein eDir hinter.
Ich werde mal einen Trace der LDAP Anfrage machen.
Was könnte ich noch versuchen? (Ausser das Root-Zertifikat lokal abzulegen ;-)
(...)
Die einfachste Möglichkeit ist, die CA in der ldaprc einzubinden, falls du das noch nicht gemacht hast. Genau das wollte ich eigentlich nicht. Die Verbindung ist nur sporadisch und ich weiss ja, das es sich nicht um eine bekannte CA handelt.
Mit welchen Parametern rufst du ldapsearch auf?
Mit vielen ;-) #ldapsearch -d 1 -H ldaps://localhost:10636 -Z -D "cn=admin,o=org" -W -b "o=org" -s sub -a always -z 1000 "(objectClass=inetOrgPerson)" "telephoneNumber" "objectClass" Wenn das Ding so störrisch ist, werde ich mir wohl doch das Root-Zertifikat holen und es local ins Arbeitsverzeichnis kopieren. Mich wurmt halt nur, das die Suche in einem LDAP-Browser geht. Der meldet einen Zertifikatsfehler und lässt einem die Wahl das Zertifikat trotzdem zu akzeptieren. Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org