Re: Ldap mit sasl und tls
Am Montag, 30. Juni 2008 14:21 schrieb Christian Schmidt:
> Re: Ldap mit sasl und tls
> Hallo Monika,
>
>
> So wie sich das anhoert, wissen Server und Client nicht, dass sie die
> SSL-Zertifikate des jeweils anderen vertrauen sollen.
>
> Am einfachsten erreichst Du das, indem Du alle beteiligten Systeme mit
> dem CA-Zertifikat versorgst und dieses dann auch in den jeweiligen
> LDAP-Konfigurationsdateien "ablegst".
> Siehe "CACERT" in man ldap.conf bzw. man slapd.conf. Und das
> "passende" Setzen von "TLSVerifyClient" nicht vergessen!
Die Zertifikate habe ich verteilt, jetzt hat sich die Fehlerausgabe auch
geaendert, Als Nutzer, der garantiert einen Eintrag in LDAP und Passwort in
Kerberos erhalte ich:
ldapsearch -ZZ -h ldap.mydomain.local
SASL/DIGEST-MD5 authentication started
Please enter your password:
ldap_sasl_interactive_bind_s: Invalid credentials (49)
additional info: SASL(-13): user not found: no secret in database
Und bei ldapsearch -ZZ
ldap_start_tls: Can't contact LDAP server (-1)
/etc/ldap/ldap.conf:
BASE ou=my,o=domain,c=de
URI ldap://ldap.mydomain.local
TLS_CACERT /etc/ssl/flicerts/server.pem
host ldap.mydomain.local
Der DNS läuft.
Wenn ich auf dem ldap-server folgendes Kommando
openssl s_client -connect localhost:636 -showcerts
absetze bleibt es haengen nach:
:
:
No client certificate CA names sent
---
SSL handshake has read 1096 bytes and written 316 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: xxxxxxxxxxxxx
Session-ID-ctx:
Master-Key: xxxxxxxxxxxxxxxxxx
Key-Arg : None
Start Time: 1214837417
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
Es ist ein selbstsignifiziertes Zertifikat. Bisher hatte es gereicht, wir
arbeiten im LAN nur mit privaten IP-Bereich.
Monika
> Viel Erfolg!
>
> Gruss/Regards,
> Christian Schmidt
>
> --
> Q: What do they call the alphabet in Arkansas?
> A: The impossible dream.
> Ende der signierten Nachricht
--
________________________________________________________________________________
Monika Strack
Institut fuer Nutztiergenetik
Friedrich-Loeffler-Institut
31535 Neustadt e-mail: monika.strack@fli.bund.de
Germany Tel: +49 5034 /871 154
Fax: +49 5034 /871 239
_______________________________________________________________________________
Reply to: