Re: Openldap mit SSL

[Volker Katz <volker.katz@gmx.de>]

Moin,
Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge:
> > ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein
> > Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen
> > weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS
> > abgesichert werden.
>
> Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed
> Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem
> CA-Zertifikat dann das Server-Zertifikat signen.

ich habe das Zertifikat jetzt erstellt, wie hier beschrieben: 
http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php

und mein config sieht so aus:
TLSCertificateFile /etc/ssl/certs/ldap.cert.pem
TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem
TLSCACertificateFile /etc/ssl/CA/ca.cert.pem
TLSVerifyClient never

SLAPD_SERVICES="ldap:/// ldaps:///"

Laut nmap sind die Ports auch offen:
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
389/tcp open  ldap
636/tcp open  ldapssl

Laut ldapsearch habe ich aber immernoch ein Problem mit meinen Zertifikaten:
# ldapsearch
ldap_sasl_interactive_bind_s: No such attribute (16)
sarge:~# ldapsearch -H ldaps://192.168.0.9
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
        additional info: error:14090086:SSL 
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


Kann mir noch jemand einen Tip geben?

Gruß & Danke
  Volker