Re: Openldap mit SSL

To: debian-user-german@lists.debian.org
Subject: Re: Openldap mit SSL
From: Volker Katz <volker.katz@gmx.de>
Date: Fri, 28 Oct 2005 14:48:08 +0200
Message-id: <[🔎] 200510281448.09308.volker.katz@gmx.de>
In-reply-to: <[🔎] 200510281253.42645.volker.katz@gmx.de>
References: <[🔎] 200510271310.39285.volker.katz@gmx.de> <[🔎] E1EVBwb-00016O-NN@ds9.argh.org> <[🔎] 200510281253.42645.volker.katz@gmx.de>

Am Freitag, 28. Oktober 2005 12:53 schrieb Volker Katz:
> Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge:
> > > ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein
> > > Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen
> > > weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS
> > > abgesichert werden.
> >
> > Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed
> > Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem
> > CA-Zertifikat dann das Server-Zertifikat signen.
>
> ich habe das Zertifikat jetzt erstellt, wie hier beschrieben:
> http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php
>
> und mein config sieht so aus:
> TLSCertificateFile /etc/ssl/certs/ldap.cert.pem
> TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem
> TLSCACertificateFile /etc/ssl/CA/ca.cert.pem
> TLSVerifyClient never
>
> SLAPD_SERVICES="ldap:/// ldaps:///"
>
> Laut nmap sind die Ports auch offen:
[...]
Ich habe noch etwas weiter herumprobiert. Nachdem ich in meiner /etc/ldap.conf 
nun folgendes eingetragen habe, scheint ldapsearch glücklicher zu sein:
ldap.conf: 
TLS_CACERT /etc/ssl/certs/cacert.pem
TLS_REQCERT demand 

# ldapsearch -H ldaps://192.168.0.9
ldap_sasl_interactive_bind_s: No such attribute (16)

Auch der Test mit openssl sieht gut aus:
# openssl s_client -connect localhost:636 -showcerts -state 
-CAfile /etc/ssl/CA/ca.cert.pem
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
...
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: 
6B770947671ED8830CC1501550BD24C38F18D7B05B64AE24353D9E2622FC7031
    Session-ID-ctx:
    Master-Key: 
CB2669464105A53D9742AA4376CF2DAC3E0213B7040240F5A574C04F871AD9E6B626596D21155D588E1E111D6DCF6202
    Key-Arg   : None
    Start Time: 1130499398
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Nun habe ich ldapsearch von einem anderen Rechner aus versucht:
ldapsearch -H ldaps://192.168.0.9
ldap_bind: Can't contact LDAP server (81)
        additional info: error:14090086:SSL 
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in 
Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen 
und sage, dass es ihm vertrauen soll?

Von einem weiteren Rechner aus habe versucht eine Verbindung mit Thunderbird 
aufzubauen. Erst wurde ich gewarnt, dass das Server-Zertifikat u.U. nicht 
vertrauenswürdig ist - das habe ich natürlich akzeptiert. Dann wurde ich 
gewarnt, dass auch die CA nicht vertrauenswürdig ist. Hier hängt Thunderbird 
jetzt. Ich kann weder das Zertifikat ansehen, noch aktzeptieren. Es passiert 
schlicht gar nichts.

Tja, jetzt weiß ich gar nicht mehr, ob es meiner Server- oder 
Clientkonfiguration liegt. Any hints?

Gruß & Danke
  Volker

Reply to:

Follow-Ups:
- Re: Openldap mit SSL
  - From: Sven Hartge <lists@ds9.gnuu.de>

References:
- Openldap mit SSL
  - From: Volker Katz <volker.katz@gmx.de>
- Re: Openldap mit SSL
  - From: Sven Hartge <lists@ds9.gnuu.de>
- Re: Openldap mit SSL
  - From: Volker Katz <volker.katz@gmx.de>

Prev by Date: Re: Uptime ppp?
Next by Date: Re: [Fixed] Wordpress: Redirect hinter Home
Previous by thread: Re: Openldap mit SSL
Next by thread: Re: Openldap mit SSL
Index(es):
- Date
- Thread