Hallo Monika, Monika Strack, 30.06.2008 (d.m.y): > ich brauche dringend Hilfe. Wir haben an Wochende unsere Systeme umgestellt > und neue Server in Betrieb genommen. jetzt haben wir bei einigen Diensten > Authenifizierungsprobleme. > Unsere Systeme sind virtuelle Rechner auch Xen. Wir haben auf den > Authentifizierungsserver ldap mit support für sasl, kerberos und tls > installiert. Die LDAP-Version ist von 2.2 auf 2.3 ( slap 2.2.23-8 sarge > auf2.3.30-5+etch1), Kerberos 1.4.4-7etch1~backports auf 1.4.4-7etch5, sasl > von 2.1.19.dfsg1 auf 2.1.22.dfsg1-8 gewechselt. Das ganze System wurde von > sarge auf etch umgestellt. Oha... ;-) > Nachdem diese aktiviert sind bekomme ich folgende Fehler: > auf ldapclients: > > ldapsearch -ZZ -h ldap.mydomain.local > additional info: error:14090086: > SSLroutines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed > > auf server : > dap_sasl_interactive_bind_s: Local error (-2) > additional info: SASL(-1): generic failure: GSSAPI Error: > Miscellaneous failure (Unknown code krb5 195) So wie sich das anhoert, wissen Server und Client nicht, dass sie die SSL-Zertifikate des jeweils anderen vertrauen sollen. Am einfachsten erreichst Du das, indem Du alle beteiligten Systeme mit dem CA-Zertifikat versorgst und dieses dann auch in den jeweiligen LDAP-Konfigurationsdateien "ablegst". Siehe "CACERT" in man ldap.conf bzw. man slapd.conf. Und das "passende" Setzen von "TLSVerifyClient" nicht vergessen! Viel Erfolg! Gruss/Regards, Christian Schmidt -- Q: What do they call the alphabet in Arkansas? A: The impossible dream.
Attachment:
signature.asc
Description: Digital signature