[Part. Gelöst] lenny: Openldap und TLS

To: debian-user-german@lists.debian.org
Subject: [Part. Gelöst] lenny: Openldap und TLS
From: Thomas Günther <thomas.guenther@gmx.de>
Date: Fri, 20 Feb 2009 08:51:10 +0100
Message-id: <[🔎] 20090220085110.6aa56b64@pigpen.uni-duisburg.de>
References: <[🔎] 20090212100454.5d5959f3@pigpen.uni-duisburg.de>

On Thu, 12 Feb 2009 10:20:10 +0100
Thomas Günther <thomas.guenther@gmx.de> wrote:

> Hallo,
> 
> ich habe Probleme mit Openldap und TLS unter Lenny.
> 
> 1. Problem
> Wenn ich als root auf dem ldap-client eine 'su - <user>' ausführe,
> bekomme ich als Fehlermeldung "Unbekannte ID: <user>". Im Log des
> Servers taucht dazu folgende Fehlermeldung auf:
[...]
> Mit einem 'ldapsearch -x -ZZ' bekomme ich auf dem Client die
> Fehlermeldung: "ldap_start_tls: Connect error (-11)" und auf dem
> Server die gleiche wie oben.
> 
> Insgesamt scheint was mit den Zertifikaten nicht zu stimmen.
> 
> Dazu als Anmerkung: Es handelt sich um selbst erzeugte Zertifikate,
> die mit einem ebenso selbst erzeugtem CA-Zertifikat signiert sind.
> Auf die Art und Weise erstellte Zertifikate benutze ich auch für
> Webserver und VPN-Server. Da scheint alles problemlos zu laufen. Die
> Verbindungen sind verschlüsselt. Die Zertifikate werden natürlich von
> Mozilla und Co. als "Nicht vertrauenswürdig" eingestuft, da von keiner
> offiziellen CA signiert. Aber sie erfüllen ihren Zweck.
> 
> Hat irgendjemand eine Idee, was das Problem sein könnte?

Das Problem war, das als CN im Zertifikat für den Ldap-Client die
IP-Adresse und nicht der FQDN eingetragen war. Grund dafür war, das der
Ldap-Client einfach keinen DNS-Eintrag hatte. Jetzt hat das Teil eine
IP mit DNS-Eintrag. Der entsprechende FQDN als CN im Zertifikat scheint
das Problem behoben. Es wird (fast - s.u.) alles klaglos verschlüsselt.


[...]
> 2. Problem
> Mit einem 'ldapsearch -x' liefert mir den LDAP-Server alle Einträge
> zurück, obwohl auf dem Client in '/etc/ldap/ldap.conf' der Eintrag
> 'TLS_REQCERT demand' enthalten ist, was nach meinem Verständnis soviel
> bedeutet wie "Wenn kein Zertifikat vorhanden ist oder das vorhandene
> unbrauchbar (bad), dann weise die Verbindung zurück.".
> Der Client scheint das 'TLS_REQCERT demand' zu ignorieren.
> Selbiges gilt offensichtlich für den Server. In
> der /etc/ldap/slapd.conf habe ich ein 'TLSVerifyCLient demand'
> eingetragen. Auch er scheint zu ignorieren, dass ein Zertifikat
> erforderlich ist. Jedenfalls kann man die Daten im Netz mitlesen.
> 
> Gibts dazu Ideen, wo das Problem liegen könnte?

Das Problem ist nach wie vor ungelöst. Ich mache dazu nochmal einen
Thread auf.

> Gruss
> Thomas

Reply to:

References:
- lenny: Openldap und TLS
  - From: Thomas Günther <thomas.guenther@gmx.de>

Prev by Date: Eigener Kernel und dm-crypt --> PANIC
Next by Date: Re: Einsteigerproblem (Drucker usw.)
Previous by thread: lenny: Openldap und TLS
Next by thread: Festplattenvollverschlüsselung mit loop-aes
Index(es):
- Date
- Thread