Problema con ldap y correo
Hola lista, tengo montado un servidor SuSE 9.1, en el cual tengo un servidor de correo con: imap-2002e-92 + sendmail-8.12.10-158 + qpopper-4.0.5-171 + openldap2-2.2.6-37.22. El servicio de correo funcionaba bien, hasta que comenzé a implementar ldap. Pude configurar este servicio con los esquemas que por default brinda SuSE, y migré los usuarios, con lo cual desde el yast puedo verlos y consultarlos. Asimismo con otras herramientas como por ejemplo GQ. El servidor LDAP lo tengo funcionando en el puerto 389, aunque el YAST tiene habilitada la opcion TLS/SSL. Haciendo un netstat -an |LISTEN veo el 389 pero no asi el 636. Estoy probando el correo con el cliente thunderbird, configurado como IMAP, y puedo enviar bien los mensajes, pero al intentar guardarlos en la carpeta del servidor, me da error : "imapd[12312]: pam_ldap: ldap_result Can't contact LDAP server". con el POP pasa exactamente lo mismo. El Sendmail aùn no lo configurè por lo que está trabajando bien en el puerto 25. Esta es la configuracion que tengo en /etc/pam.d/pop3 #%PAM-1.0 auth required pam_unix2.so account required pam_unix2.so y esta para /etc/pam.d/imap #%PAM-1.0 auth required pam_unix2.so account required pam_unix2.so el archivo /etc/nsswitch.conf passwd: compat group: compat hosts: files dns networks: files dns services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files publickey: files bootparams: files automount: files nis ldap aliases: files passwd_compat: ldap group_compat: ldap Que supongo que lo reconfigurò el YAST automaticamente. Me pueden dar alguna idea de que puede estar pasando ?. Desde ya agradezco por adelantado. Saludos Raul
Hola, En/na Raul H. Lapitzondo (by way of Raul H. Lapitzondo <>) ha escrit:
Pude configurar este servicio con los esquemas que por default brinda SuSE, y migré los usuarios, con lo cual desde el yast puedo verlos y consultarlos. Asimismo con otras herramientas como por ejemplo GQ. El servidor LDAP lo tengo funcionando en el puerto 389, aunque el YAST tiene habilitada la opcion TLS/SSL. Haciendo un netstat -an |LISTEN veo el 389 pero no asi el 636.
Para que funcione en modo TLS edita el fichero /etc/sysconfig/openldap y verás que la primera variable te permite activar/desactivar el TLS. Luego, solo reinicia el servicio. Además deberás tener instalado y configurado el certificado en el lado servidor (en /etc/openldap/slapd.conf) y en el lado cliente (/etc/openldap/ldap.conf). Yo lo he montado a partir de aqui : http://bulma.net/body.phtml?nIdNoticia=1343&nIdPage=3 Saludos Andrés.
Gracias por responder Andrés. Efectivamente modifiqué el archivo /etc/sysconfig/openldap: OPENLDAP_START_LDAPS="yes" y en el archivo /etc/openldap/slapd.conf agregué TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCertificateFile /etc/ssl/certs/slapd.pem TLSCertificateKeyFile /etc/ssl/certs/slapd.pem ... como surge del documento de Bulma que citas. Pero al reiniciar el servicio ldap me tira este error: # rcldap start Starting ldap-serverstartproc: exit status of parent of /usr/lib/openldap/slapd: 1 failed ... y mirando el /var/log/messages veo: Aug 25 11:09:37 matrix2 slapd[19242]: @(#) $OpenLDAP: slapd 2.2.6 (Aug 4 2004 16:31:54) $ abuild@boltzmann:/usr/src/packages/BUILD/openldap-2.2.6/servers/slapd Aug 25 11:09:37 matrix2 slapd[19242]: bdb_initialize: Sleepycat Software: Berkeley DB 4.2.52: (April 6, 2004) Aug 25 11:09:37 matrix2 slapd[19242]: bdb_db_init: Initializing BDB database Aug 25 11:09:37 matrix2 slapd[19242]: main: TLS init def ctx failed: -1 Aug 25 11:09:37 matrix2 slapd[19242]: slapd stopped. Aug 25 11:09:37 matrix2 slapd[19242]: connections_destroy: nothing to destroy. ... hummmmm , no tengo idea que puede estar pasando... Saludos Raùl Andres wrote:
Hola,
En/na Raul H. Lapitzondo (by way of Raul H. Lapitzondo <>) ha escrit:
Pude configurar este servicio con los esquemas que por default brinda SuSE, y migré los usuarios, con lo cual desde el yast puedo verlos y consultarlos. Asimismo con otras herramientas como por ejemplo GQ. El servidor LDAP lo tengo funcionando en el puerto 389, aunque el YAST tiene habilitada la opcion TLS/SSL. Haciendo un netstat -an |LISTEN veo el 389 pero no asi el 636.
Para que funcione en modo TLS edita el fichero /etc/sysconfig/openldap y verás que la primera variable te permite activar/desactivar el TLS. Luego, solo reinicia el servicio.
Además deberás tener instalado y configurado el certificado en el lado servidor (en /etc/openldap/slapd.conf) y en el lado cliente (/etc/openldap/ldap.conf).
Yo lo he montado a partir de aqui :
http://bulma.net/body.phtml?nIdNoticia=1343&nIdPage=3
Saludos
Andrés.
En/na Raul H. Lapitzondo ha escrit:
Gracias por responder Andrés. Efectivamente modifiqué el archivo /etc/sysconfig/openldap:
OPENLDAP_START_LDAPS="yes"
y en el archivo /etc/openldap/slapd.conf agregué
TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCertificateFile /etc/ssl/certs/slapd.pem TLSCertificateKeyFile /etc/ssl/certs/slapd.pem
... como surge del documento de Bulma que citas. Pero al reiniciar el servicio ldap me tira este error:
# rcldap start Starting ldap-serverstartproc: exit status of parent of /usr/lib/openldap/slapd: 1
failed ... y mirando el /var/log/messages veo: Aug 25 11:09:37 matrix2 slapd[19242]: @(#) $OpenLDAP: slapd 2.2.6 (Aug 4 2004 16:31:54) $ abuild@boltzmann:/usr/src/packages/BUILD/openldap-2.2.6/servers/slapd Aug 25 11:09:37 matrix2 slapd[19242]: bdb_initialize: Sleepycat Software: Berkeley DB 4.2.52: (April 6, 2004) Aug 25 11:09:37 matrix2 slapd[19242]: bdb_db_init: Initializing BDB database Aug 25 11:09:37 matrix2 slapd[19242]: main: TLS init def ctx failed: -1 Aug 25 11:09:37 matrix2 slapd[19242]: slapd stopped. Aug 25 11:09:37 matrix2 slapd[19242]: connections_destroy: nothing to destroy.
... hummmmm , no tengo idea que puede estar pasando...
Ufff. La verdad es que no hay casi nada sobre este error. He visto algunas cosillas : 1.- Has generado el certificado tal como indicaba ? Piensa que deben ser en formato PEM que contiene el certificado y la llave. 2.- Prueba a meterlo en la carpeta /etc/openldap . Yo cree una carpeta llamada certs en /etc/openldap y metí en ella los certs. 3.- Yo tengo deshabilitada la opción TLSCipherSuite. 4.- Los certificados para el cliente (/etc/ldap.conf) yo los generé nuevos y los metí en /usr/share/ssl/certs. Saludos. Andrés.
El problema radicaba en 2 cosas: 1. El certificado debe contener el nombre FDQN, y no como indica el OpenSSL el nombre propio. 2. A mi no me funcionaba con la opcion TLSCipherSuite , por lo tanto la deshabilitè. Me quedan otras cosas por configurar... pero todo a base de ir estudiando y conociendo como funciona ldap... sobre todo acerca de los permisos. :) Una pagina muy pero muy buena acerca de certificados es esta: http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/htmls/openldap-... Saludos Raùl Andres wrote:
En/na Raul H. Lapitzondo ha escrit:
Gracias por responder Andrés. Efectivamente modifiqué el archivo /etc/sysconfig/openldap:
OPENLDAP_START_LDAPS="yes"
y en el archivo /etc/openldap/slapd.conf agregué
TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCertificateFile /etc/ssl/certs/slapd.pem TLSCertificateKeyFile /etc/ssl/certs/slapd.pem
... como surge del documento de Bulma que citas. Pero al reiniciar el servicio ldap me tira este error:
# rcldap start Starting ldap-serverstartproc: exit status of parent of /usr/lib/openldap/slapd: 1
failed ... y mirando el /var/log/messages veo: Aug 25 11:09:37 matrix2 slapd[19242]: @(#) $OpenLDAP: slapd 2.2.6 (Aug 4 2004 16:31:54) $ abuild@boltzmann:/usr/src/packages/BUILD/openldap-2.2.6/servers/slapd Aug 25 11:09:37 matrix2 slapd[19242]: bdb_initialize: Sleepycat Software: Berkeley DB 4.2.52: (April 6, 2004) Aug 25 11:09:37 matrix2 slapd[19242]: bdb_db_init: Initializing BDB database Aug 25 11:09:37 matrix2 slapd[19242]: main: TLS init def ctx failed: -1 Aug 25 11:09:37 matrix2 slapd[19242]: slapd stopped. Aug 25 11:09:37 matrix2 slapd[19242]: connections_destroy: nothing to destroy.
... hummmmm , no tengo idea que puede estar pasando...
Ufff. La verdad es que no hay casi nada sobre este error. He visto algunas cosillas :
1.- Has generado el certificado tal como indicaba ? Piensa que deben ser en formato PEM que contiene el certificado y la llave. 2.- Prueba a meterlo en la carpeta /etc/openldap . Yo cree una carpeta llamada certs en /etc/openldap y metí en ella los certs. 3.- Yo tengo deshabilitada la opción TLSCipherSuite. 4.- Los certificados para el cliente (/etc/ldap.conf) yo los generé nuevos y los metí en /usr/share/ssl/certs.
Saludos.
Andrés.
participants (3)
-
Andres
-
Raul H. Lapitzondo
-
Raul H. Lapitzondo