Thomas Günther, Wed Jun 24 2009 10:35:20 GMT+0200 (CEST):
Am Wed, 24 Jun 2009 09:30:14 +0200 schrieb Peter Jordan <usernetwork@gmx.info>: [...]Ich habe die ldap.conf auf dem Server um TLS_REQCERT demand ergänzt. Folgender Befehl schlägt aber fehl:# ldapsearch -x -v -ZZ ldap_initialize( <DEFAULT> ) ldap_start_tls: Operations error (1)Das sorgt dafür, dass der Client nur dann weitermacht, wenn der Server ein gültiges Zertifikat vorweist. man ldap.conf: If no certificate is provided, or a bad certificate is provided, the session is immediately terminated. Dein Zertifikat ist nicht vorhanden oder ungültig. Davon abgesehen ist das für TLS gedacht, sagt die man page. Nicht für SSL. Ich bin mir nicht sicher, ob diese Einstellung bei Verwendung von SSL statt TLS etwas bewirkt.
Mittlerweile habe ich herausgefunden, dass das nur deshalb nicht geht, weil mit -ZZ und ldaps die Verschlüsselung zweimal aufbebaut wird und das fehlschlägt. Wenn ich eins von beiden weglasse funktioniert es ja.
Wenn ich aber in /etc/default/slapd auch ldap:/// zulasse funktioniert folgender Befehl: # ldapsearch -x -v -ZZ -H ldap://ldap.intern Warum funktioniert das mit ldaps nicht? Mir ist es eigentlich egal,ob ich nun mit ldap oder ldaps arbeite nur die Verschlüsselung muss erzwungen werden.Es macht wenig Sinn, die Anfrage von deinem Server an deinen Server zuverschlüsseln. Oder übersehe ich da was?
Nein, aber erstmal sollte es auf dem Server funktionieren und dann kann ich es auf den Clients weiter versuchen.
PJ