[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ldap mit sasl und tls

Am Montag, 30. Juni 2008 14:21 schrieb Christian Schmidt:
> Re: Ldap mit sasl und tls
>   Hallo Monika,
>
>
> So wie sich das anhoert, wissen Server und Client nicht, dass sie die
> SSL-Zertifikate des jeweils anderen vertrauen sollen.
>
> Am einfachsten erreichst Du das, indem Du alle beteiligten Systeme mit
> dem CA-Zertifikat versorgst und dieses dann auch in den jeweiligen
> LDAP-Konfigurationsdateien "ablegst".
> Siehe "CACERT" in man ldap.conf bzw. man slapd.conf. Und das
> "passende" Setzen von "TLSVerifyClient" nicht vergessen!

Die Zertifikate habe ich verteilt, jetzt hat sich die Fehlerausgabe auch 
geaendert,  Als Nutzer, der garantiert einen  Eintrag in LDAP und Passwort in 
Kerberos erhalte ich:
ldapsearch -ZZ -h ldap.mydomain.local
SASL/DIGEST-MD5 authentication started
Please enter your password:
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL(-13): user not found: no secret in database

Und bei ldapsearch -ZZ
ldap_start_tls: Can't contact LDAP server (-1)

/etc/ldap/ldap.conf:
BASE    ou=my,o=domain,c=de
URI     ldap://ldap.mydomain.local
TLS_CACERT /etc/ssl/flicerts/server.pem
host ldap.mydomain.local

Der DNS läuft.

Wenn ich auf dem ldap-server folgendes Kommando 

openssl s_client -connect localhost:636 -showcerts

absetze bleibt es haengen nach:
:
:
No client certificate CA names sent
---
SSL handshake has read 1096 bytes and written 316 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: xxxxxxxxxxxxx
    Session-ID-ctx:
    Master-Key: xxxxxxxxxxxxxxxxxx
    Key-Arg   : None
    Start Time: 1214837417
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---

Es ist ein selbstsignifiziertes Zertifikat. Bisher hatte es gereicht, wir 
arbeiten im LAN nur mit privaten IP-Bereich.

Monika


> Viel Erfolg!
>
> Gruss/Regards,
> Christian Schmidt
>
> --
> Q:      What do they call the alphabet in Arkansas?
> A:      The impossible dream.
>   Ende der signierten Nachricht

-- 
________________________________________________________________________________
Monika Strack
Institut fuer Nutztiergenetik 
Friedrich-Loeffler-Institut

31535 Neustadt               e-mail: monika.strack@fli.bund.de
Germany                      Tel: +49 5034 /871 154
                             Fax: +49 5034 /871 239
_______________________________________________________________________________
Reply to: