Hallo,
axel machens
Hallo Leute,
ich versuche mich an der Konfiguration von Samba mit LDAP und SSL unter einer SuSE 8.1. Leider klappt das alles nicht so wie es soll :)
Das soll vorkommen :-) Ich weiß nicht, welche OpenLDAP Version SuSE mit 8.1 ausliefert, ich vermute aber mal, irgendeine Verion 2.0.x. Dann solltest du STARTTLS verwenden und nicht SSL.
Ich habe eine Anleitung aus der Linux Magazin 04/2002 im Netz gefunden und Schritt für Schriit befolgt. In der /etc/sysconfig/openldap habe ich die SSL option auf Yes gestellt und mit openssl req -new -x509 -nodes -days 365 -out /etc/openldap/server.pem -keyout /etc/openldap/server.pem der Zertifikate erstellt.
tut mir leid, aber den Quatsch mit sysconfig/openldap SSL yes verstehe ich nicht. Da muß schon mehr Information her. Was steht in /etc/openldap/slapd.conf zum Thema TLS Was steht in /etc/openldap/ldap.conf zum Thema TLS
Bei comman name habe ich den FQDN snoopy.intern.de eingetragen und in der ldap.conf uri ldaps://192.168.1.1:636 (habs auch schon mit uri ldaps://snoopy.intern.de versucht)
Was nutzt dir das veraltete SSL mit Port 636 wenn slapd auf Port 389 lauscht?
Leider erhalte ich die Fehlermeldung bei ldapsearch -x:
dap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Was mache ich Falsch ????
Falscher Port und Selfsigned Certificates werden nicht akzeptiert. Das war mal bei openldap-1.x noch möglich.
Ich hab auch schon mit ldapsearch -H ldaps://192.168.1.1 -x -b "" base (oder snoopy.intern.de) versucht den DT zu durchsuchen - kein Erfolg SCHNIEF!!!
Schniefen nutzt da nichts, sondern da hilft nur LESEN! http://www.openldap.org/doc/admin20/ wenn du openldap-2.0 hast; wenn du openldap-2.1 hast http://www.openldap.org/doc/admin21/
Kennt jemand das Problem und eine Lösung oder Website mit einem HowTo für LDAP und SSL unter Linux ??
Du möchtest doch auch noch Samba mittels TSL nutzen, dazu ist es nützlich, die Samba Version zu kennen, denn mit dem SuSe RPM 2.2.5 konnte ich keine TLS Verbindung zum Verzeichnisdienst herstellen, erst nachdem ich Samba selbst kompiliert hatte, funktionerte es. Zum Thema Zertifikate. Unter /usr/share/ssl/misc findest du zwei scripts, CA.pl und CA.sh ich würde dir empfehlen die Cerificates mit diesen scripts zu erstellen. 1. eine eigen Certificate Authority CA.pl -newca Bedenke, daß sowohl X.500 als auch LDAP von der selben Protokollfamilie abstammen, daher ist die Definition des Distinguished Names identisch, mit andern Worten, du solltest die gleichen Distinguished Names verwenden die du auch im Verzeichnisdienst nutzt. 2. ein Certificate für den Host erstellen CA.pl -newreq 3. das Hostzertifikat mit dem CA Key signieren CA.pl -signreq 4. prüfen ob auch alles richti ist. CA.pl -verify deincert.pem 5. das Hostzertifikat vom Paßwort befreien openssl rsa -in newreq.pem -out dein.ldaphostcert.pem 6. ein Certificate für jeden User erstellen CA.pl -newrq Hier den DN des Eintrages im Verzeichnisdienst verwenden. Die Usercertificate in das Homeverzeichnis der User kopieren, die Hostcertificates öffentlich zugänglich machen, z.B. in /etc/cert oder wo auch immer. Den CA Key sichern. In /etc/openldap/ldap.conf darf nun *nicht* localhost als als Adresse des Ldapservers stehen, sondern es muß der FQDN dort stehen, die selbe Adresse, die auch im Hostcertificate steht, sonst funktioniert nichts. Prüfen, ob auch alles richtig gemacht wurde, bei mir sieht das dan folgendermaßen aus dieter@marin:/usr/local/bin> ./ldapwhoami -Y EXTERNAL -ZZ SASL/EXTERNAL authentication started SASL username: CN=Dieter Kluenter,OU=partner,O=avci,C=de SASL SSF: 0 dn:cn=dieter kluenter,ou=partner,o=avci,c=de SASL username wird aus dem Certificate ausgelesen, die Zeile dn: cn=... ist mein Distighuished Name im Verzeichnisdienst. Das Certificate wird also erkannt und akzeptiert. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour