lug-in.de
Linux User Group Ingolstadt e.V.
Startseite
Der Verein
Technikecke
Mailingliste
Kalender
Impressum
Login

Baustelle

Wer den nachfolgenden Artikel liest erkennt, hier geht noch gar nichts. Grund für mein Versagen scheint meine mangelnde Kenntnis des Zusammenspiels zwischen LDAP und TLS auf der Serverseite zu sein.

Bis dato habe ich immer versucht zuerst nachzuweisen das der Server (LDAP) überhaupt Anfragen nach einer bestimmten Methode entgegennimmt. Dazu verwende ich den einfachen Suchbefehel ldapsearch vom Client aus.

Hier klappt, das nicht. Da ich aber inzwischen Kerberos am laufen habe, ist meine Neigung diesen Problem hier nachzugehen begrenzt.

Also hier nur für das Protokoll:

Versuche mit TLS auf dem LDAP Server

Gemäß unsers Wikis zuerst einmael die Keys und Zertififate erstellen. 

itoko# openssl req -new -x509 -nodes -out /usr/local/etc/openldap/slapcert.pem -keyout /usr/local/etc/openldap/slapdkey.pem

Dann die entsprechenden Einträge in die /usr/local/etc/openldap/slapd.conf 

TLSCertificateFile      /usr/local/etc/openldap/slapdcert.pem
TLSCertificateKeyFile   /usr/local/etc/openldap/slapdkey.pem

Allerdings fehlt noch die Anweisung das der Server beim Start per ssh startet.

Schaun wir mal ob er die Zertifikate nimmt: 

itoko# ldapsearch -d 1 -ZZ -b "ou=people,dc=calmar,dc=net" -s sub "(&(objectclass=posixaccount)(mail=*))"

liefert OpenLDAP SSL/TLS Fähigkeit Ausgabe ldapsearch.

Und da heisst es : 

ldap_start_tls: Protocol error (2)
        additional info: unsupported extended operation

Der Fehler war ein Schreibfehler in der slapd.conf. Neuer Versuch - jetzt startet der sladp aber ich bekomme mit obigen ldapsearch Kommando folgenden Ausgabe: 

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 0, err: 18, subject: /C=DE/ST=Bavaria/L=Ingolstadt/O=Augustin Tech Div/OU=Tech/CN=itoko.calmar.net, issuer: /C=DE/ST=Bavaria/L=Ingolstadt/O=Augustin Tech Div/OU=Tech/CN=itoko.calmar.net
TLS certificate verification: Error, self signed certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in SSLv3 read server certificate B
TLS trace: SSL_connect:error in SSLv3 read server certificate B
TLS: can't connect: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (self signed certificate).
ldap_err2string
ldap_start_tls: Connect error (-11)
        additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (self signed certificate

Scheint allerdings immer noch nicht zu klappen. Ich bekomme folgende Meldung. 

schoener@haruka:~$ ldapwhoami -h 10.128.1.142 -Y EXTERNAL -ZZ
ldap_start_tls: Connect error (-11)
        additional info: (unknown error code)
schoener@haruka:~$

(V1.02)