axel machens
Hallo Leute,
ich versuche mich an der Konfiguration von Samba mit LDAP und SSL unter einer SuSE 8.1. Leider klappt das alles nicht so wie es soll :) Ich habe eine Anleitung aus der Linux Magazin 04/2002 im Netz gefunden und Schritt für Schriit befolgt. In der /etc/sysconfig/openldap habe ich die SSL option auf Yes gestellt und mit openssl req -new -x509 -nodes -days 365 -out /etc/openldap/server.pem -keyout /etc/openldap/server.pem der Zertifikate erstellt. Bei comman name habe ich den FQDN snoopy.intern.de eingetragen und in der ldap.conf uri ldaps://192.168.1.1:636 (habs auch schon mit uri ldaps://snoopy.intern.de versucht)
Leider erhalte ich die Fehlermeldung bei ldapsearch -x:
dap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Was mache ich Falsch ????
bist Du sicher das Du den Artikel gelesen und verstanden hast ?. Ich habe es selbst nicht gelesen aber so wie Du es beschreibst steht da nur Schwachsinn. Als erstes erstelle Dir im /etc/openldap (da liegt es glaube ich bei SuSE) ein neues Verzeichnis z.B certs. Jetzt gehst Du in diese Verzeichnis und gibst folgende Befehle ein: ,---- | 1. openssl genrsa -des3 -out ca.key 2048 | 2. openssl req -new -x509 -days 365 -key ca.key -out ca.cert | 3. openssl genrsa -out ldap.key 1024 | 4. openssl req -new -key ldap.key -out ldap.csr | 5. openssl x509 -req -in ldap.csr -out ldap.cert -CA ca.cert -CAkey ca.key -CAcreateserial -days 365 `---- 1. Fragt nach einer Passphrase ab (muss eingegeben werden). Bei Common Name gibst Du z.B Dein Name 2. Fragt die eingegebene Passphrase ab 4. Fragt nach challenge Password (kein eingeben). Bei Common Name muss das eingegeben werden wie die Maschine per ldap angesprochen wird. Wenn also bei mir steht in ldap.conf "HOST a7ud0101.rjap.de" dann wird Common Name als a7ud0101.rjap.de eingegeben. Jetzt Kopierst Du die ca.cert nach /etc/ssl/certs. Alle Dateien bis auf die ldap.cert und ldap.key kannst Du löschen. Die ldap.key soll Perm. 600 haben. In die slapd.conf trägst Du: ,----[ slapd.conf ] | ########################################################### | # SSL | ########################################################### | TLSCipherSuite HIGH:MEDIUM:+SSLv2:RSA | TLSCertificateFile /etc/ldap/certs/ldap.cert | TLSCertificateKeyFile /etc/ldap/certs/ldap.key | TLSCACertificateFile /etc/ssl/certs/ca.cert `---- In die ldap.conf: ,----[ ldap.conf ] | BASE [Dein Base] | HOST [Das was als Common Name eingegeben] | | ssl start_tls | tls_checkpeer yes | tls_cacert /etc/ssl/certs/ca.cert `---- Fetich :) Pozdrawiam/Gruß/Regards Robert Rakowicz -- Robert Rakowicz E-Mail: b9001@rjap.de URL: www.rjap.de