Re: LDAP Client mit TLS Probleme
Christian Schmidt schreibt:
Wenn Du _SSL_ auf dem Server aktivierst, muss der Client IMO auch SSL
machen. Soweit ich das verstanden habe, laeuft der TLS-Krams bei LDAP
(aehnlich wie bei SMTP) ueber den normalen Port (389), und die
Beteiligten "merken" dann ggf, dass sie die Verbindung via TLS
abwickeln koennen.
Das stimmt so nicht. Der Client muss explizit TLS anfordern, wenn die
Verbindung über Port 389 verschlüsselt werden soll. Er kann aber auch
ohne Verschlüsselung weitermachen, hat dann aber unter Umständen weniger
Rechte. Je nachdem was auf dem Server festgelegt worden ist.
Möglich ist im Fall des OP, dass der Client bei TLS und SSL das
Server-Zertifikat überprüfen will, das Stammzertfikat aber nicht mit
tls_cacertfile festgelegt worden ist. In /etc/pam_ldap.conf steht
jedenfalls, dass das Zertifikat ab der Version 2.1 von OpenLDAP
überprüft wird. Abschalten kann man das in pam_ldap.conf mit
"tls_checkpeer no". Hm, ich sehe gerade, dass der OP in
/etc/ldap/ldap.conf "TLS_REQCERT allow" eingetragen hat. Die Überprüfung
ist also abgeschaltet bzw. optional.
Dann weiß ich auch nicht weiter. Ich würden den slapd auf dem Server im
Debug-Modus starten und schauen, was los ist. Ich nehme allerdings an,
daß man dazu auch unter Mac OS X Server eine Shell öffnen muß :-)
IMO solltest Du es weiter mit "ssl on" versuchen und vielleicht sogar
dem Server das Anbieten von unverschluesseltem LDAP via Port 389
ganz abgewoehnen.
Hm, das dürfte den OP der Problemlösung keinen Schritt näher bringen.
Sinnvoller wäre es außerdem, mit Hilfe von ACLs auf dem Server
festzulegen, auf welche Attribute nur verschlüsselt zugegriffen werden
kann. Es gibt durchaus Clients, die kein SSL/TLS können, aber zum
Beispiel auf ein globales Adressbuch zugreifen können sollen. Zum
Beispiel manche IP-Telefonapparate.
Reply to: