Re: Openldap mit SSL
Am Freitag, 28. Oktober 2005 12:53 schrieb Volker Katz:
> Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge:
> > > ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein
> > > Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen
> > > weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS
> > > abgesichert werden.
> >
> > Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed
> > Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem
> > CA-Zertifikat dann das Server-Zertifikat signen.
>
> ich habe das Zertifikat jetzt erstellt, wie hier beschrieben:
> http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php
>
> und mein config sieht so aus:
> TLSCertificateFile /etc/ssl/certs/ldap.cert.pem
> TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem
> TLSCACertificateFile /etc/ssl/CA/ca.cert.pem
> TLSVerifyClient never
>
> SLAPD_SERVICES="ldap:/// ldaps:///"
>
> Laut nmap sind die Ports auch offen:
[...]
Ich habe noch etwas weiter herumprobiert. Nachdem ich in meiner /etc/ldap.conf
nun folgendes eingetragen habe, scheint ldapsearch glücklicher zu sein:
ldap.conf:
TLS_CACERT /etc/ssl/certs/cacert.pem
TLS_REQCERT demand
# ldapsearch -H ldaps://192.168.0.9
ldap_sasl_interactive_bind_s: No such attribute (16)
Auch der Test mit openssl sieht gut aus:
# openssl s_client -connect localhost:636 -showcerts -state
-CAfile /etc/ssl/CA/ca.cert.pem
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
...
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID:
6B770947671ED8830CC1501550BD24C38F18D7B05B64AE24353D9E2622FC7031
Session-ID-ctx:
Master-Key:
CB2669464105A53D9742AA4376CF2DAC3E0213B7040240F5A574C04F871AD9E6B626596D21155D588E1E111D6DCF6202
Key-Arg : None
Start Time: 1130499398
Timeout : 300 (sec)
Verify return code: 0 (ok)
Nun habe ich ldapsearch von einem anderen Rechner aus versucht:
ldapsearch -H ldaps://192.168.0.9
ldap_bind: Can't contact LDAP server (81)
additional info: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in
Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen
und sage, dass es ihm vertrauen soll?
Von einem weiteren Rechner aus habe versucht eine Verbindung mit Thunderbird
aufzubauen. Erst wurde ich gewarnt, dass das Server-Zertifikat u.U. nicht
vertrauenswürdig ist - das habe ich natürlich akzeptiert. Dann wurde ich
gewarnt, dass auch die CA nicht vertrauenswürdig ist. Hier hängt Thunderbird
jetzt. Ich kann weder das Zertifikat ansehen, noch aktzeptieren. Es passiert
schlicht gar nichts.
Tja, jetzt weiß ich gar nicht mehr, ob es meiner Server- oder
Clientkonfiguration liegt. Any hints?
Gruß & Danke
Volker
Reply to: