Re: Fehler bei Einrichtung von openLDAP mit SSL/TLS
Am 13.01.2017 um 17:26 schrieb Klaus Maria Pfeiffer:
> hi!
>
> On 01/13/2017 05:01 PM, Sebastian Reinhardt wrote:
>
>> ldap_modify: Other (e.g., implementation specific) error (80)
>> Was mache ich falsch?
> key und cert sind im PEM format?
> http://www.openldap.org/lists/openldap-technical/201603/msg00096.html
>
> der user unter dem der slapd läuft kann die PEMs lesen?
> https://debianforum.de/forum/viewtopic.php?f=32&t=156110
>
> gre3tings, Klaus
>
Hallo,
Danke für die Links/ Hinweise, aber es funktioniert leider immer noch nicht.
An den Berechtigungen sollte es eigentlich nicht liegen. Die Dateien
waren auch "für die Welt" lesbar (chmod 644). Vorsichtshalber habe ich
die Zertifikate ins Verzeichnis "/etc/ldap/slapd.d" kopiert:
---------------------------------------------------
root@lmvserver:/etc/ldap/slapd.d# l
insgesamt 32
-rw-r----- 1 openldap openldap 4717 Jan 6 23:56 cacert.pem
drwxr-x--- 3 openldap openldap 4096 Jan 13 12:07 cn=config
-rw------- 1 openldap openldap 589 Jan 13 18:24 cn=config.ldif
-rw-r----- 1 openldap openldap 1639 Jan 13 19:43 lmvserver_cert.pem
-rw-r----- 1 openldap openldap 1834 Jan 6 23:56 lmvserver_key.pem
root@lmvserver:/etc/ldap/slapd.d#
---------------------------------------------------
Auch sind die Zertifikate mit "Ca.pl" erstellt.
Ein Test der Dateien ergab das hier (ich habe da mal etwas gekürzt =>
/.../):
-------------------------------------------------------------
root@lmvserver:~/ldap_config# openssl x509 -in
/etc/ldap/slapd.d/lmvserver_cert.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
a6:88:fa: /.../
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=DE, ST=Free State of Saxony, O=LMV
Landmaschinenvertrieb und Service GmbH,
CN=lmvserver.lmv/emailAddress=webmaster@lmv-hartmannsdorf.de
Validity
Not Before: Jan 6 22:52:02 2017 GMT
Not After : Nov 15 22:52:02 2026 GMT
Subject: C=DE, ST=Free State of Saxony, L=01762
Hartmannsdorf-Reichenau/ OT Hartmannsdorf, O=LMV Landmaschinenvertrieb
und Service GmbH,
CN=*.lmvserver.lmv/emailAddress=webmaster@lmv-hartmannsdorf.de
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:f1:19:a1:21:8c:c7:77:70:ac:e8:2b:15:d4:a9:
ab:80:18:07:29:01:9b:2f:78:b8:4c:0b:9b:ed:e0:
/.../
b3:29:30:d1:6a:c7:ea:27:22:bd:4c:33:c8:8b:1e:
87:e2:ef:bc:84:49:91:ca:0e:88:41:55:2f:cf:84:
24:91
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
25:3D:7C:A6:B7: /.../
X509v3 Authority Key Identifier:
keyid:84:9E:AF:0B:64:A9:B0: /.../
Signature Algorithm: sha256WithRSAEncryption
9d:1f:71:6f:27:cd:33:de:04:39:08:a9:3c:20:79:ba:8e:ba:
45:02:72:62:a1:53:df:02:13:f3:4b:2c:be:46:88:66:15:01:
/.../
da:53:5e:ef:50:85:c2:17:e5:3e:7b:65:29:ab:d8:34:bc:7d:
87:73:91:7d:90:79:2a:25:27:92:f5:0b:5e:92:62:82:b3:6a:
6b:0f:01:5a
-------------------------------------------------------------
Das sieht genauso aus, wie die Ausgabe beim root-ca, was ja akzeptiert wird:
-------------------------------------------------------------
root@lmvserver:~/ldap_config# openssl x509 -in
/etc/ldap/slapd.d/cacert.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
a6:88:fa: /.../
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=DE, ST=Free State of Saxony, O=LMV
Landmaschinenvertrieb und Service GmbH,
CN=lmvserver.lmv/emailAddress=webmaster@lmv-hartmannsdorf.de
Validity
Not Before: Jan 6 22:48:01 2017 GMT
Not After : Jan 4 22:48:01 2027 GMT
Subject: C=DE, ST=Free State of Saxony, O=LMV
Landmaschinenvertrieb und Service GmbH,
CN=lmvserver.lmv/emailAddress=webmaster@lmv-hartmannsdorf.de
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:bb:5e:d9:f0:85:fe:a8:be:56:98:c6:38:f2:58:
5d:4c:94:8c:14:1f:3c:e8:d3:97:fd:80:6f:77:36:
/.../
e4:f9:3c:c8:64:77:77:ec:11:dd:e3:46:3f:8e:6d:
45:15:13:18:4e:01:02:d1:14:e7:25:b1:bc:6d:1f:
63:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
84:9E:AF:0B:64: /.../
X509v3 Authority Key Identifier:
keyid:84:9E:AF:0B:64: /.../
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
5b:f9:5a:a4:e4:d8:f3:c9:85:c5:ef:a9:07:1f:a9:1a:f9:bb:
b4:e0:88:9a:d7:65:6a:4d:33:57:d2:9e:96:20:09:e4:8d:d7:
/.../
37:da:5d:1e:07:2f:7b:35:68:69:f8:76:a6:70:5f:27:3d:88:
76:68:77:c1:f9:a4:2d:cb:4f:72:a1:9c:dc:9c:1b:2e:44:5c:
10:d2:0f:a4
root@lmvserver:~/ldap_config# cd /etc/ldap/slapd.d/
-------------------------------------------------------------
Trotzdem erhalte ich beim Import diese Fehlermeldung:
---------------------------------------------------
root@lmvserver:~/ldap_config# ldapmodify -Y EXTERNAL -H ldapi:/// -f
olcSSL3.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
root@lmvserver:~/ldap_config#
---------------------------------------------------
Die Datei hat folgenden Inhalt:
-------------------------------------------------
root@lmvserver:~/ldap_config# cat olcSSL3.ldif
dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/slapd.d/lmvserver_cert.pem
root@lmvserver:~/ldap_config#
-------------------------------------------------
Irgendwas mache ich falsch, aber was....?
--
Mit freundlichen Grüßen
Sebastian Reinhardt
Reply to: