Re: pam_ldap debugging

To: Debian User Deutsch <debian-user-german@lists.debian.org>
Subject: Re: pam_ldap debugging
From: Andreas Tille <tillea@rki.de>
Date: Wed, 25 Jun 2008 12:04:04 +0200 (CEST)
Message-id: <[🔎] alpine.DEB.1.10.0806251144300.9899@wr-linux02>
In-reply-to: <[🔎] 485C1CF6.5040104@aedon-its.de>
References: <[🔎] alpine.DEB.1.10.0806191117090.3866@wr-linux02> <[🔎] 20080619142452.GS15528@schlittermann.de> <[🔎] alpine.DEB.1.10.0806200742410.22275@wr-linux02> <[🔎] 20080620071413.GG5304@schlittermann.de> <[🔎] alpine.DEB.1.10.0806200924200.22275@wr-linux02> <[🔎] 20080620084520.GA15743@chemie.uni-hamburg.de> <[🔎] alpine.DEB.1.10.0806201139420.22275@wr-linux02> <[🔎] 485C1CF6.5040104@aedon-its.de>

On Fri, 20 Jun 2008, Reinhold Plew wrote:

Eine CA ist eine 'Certification Authority', welche z.B. ein Server
Zertifikat signiert. Das kann eine offizielle Stelle sein oder eine
eigene CA.


OK, soweit ist das klar - diese Art der Basics bekommt man als DD
nahezu zwangsläufig mit.

Die cacert.pem kann Dir wahrscheinlich der Admin der NDS zur Verfügung
stellen, ich kenne eure Struktur nicht.


Hat er mittlerweile.

Ansonsten schau mal bei Google nach cacert.pem (hoffe, Du hast das schon
getan) und als Einstieg z.B. unter
http://mathias-kettner.de/lw_ca_zertifikat_erstellen.html (Ist ein
Treffer bei Google).

Wahrscheinlich gibt es noch andere HowTo's und hier gibt es sicher noch
mehr Debianer, welche sich da auskennen.


Wie gesagt geht es nicht um ein Zertifikat im allgemeinen sondern ganz konkret,
um das Zertifikat der NDS, was zur Anmeldung per LDAP offensichtlich
benötigt wird.

Da ich das Zertifikat nun mittlerweile bekommen habe, habe ich es
in /etc/ldap kopiert und in /etc/ldap/ldap.conf folgendes eingetragen:

TLS_CACERT /etc/ldap/rootcert-rki.pem
TLS_REQCERT  demand

Das Zertifikat ist das der CA vom NDS-Baum 'rki'.
Das schien mir - die vorhergehenden Mails betrachtet, der fehlende Punkt
zu sein.  Ein erneuter Versuch, die Funktionstüchtigkeit zu testen, was
laut einer der vorhergehenden Mails per

   ldapwhoami -Z -D cn=TilleA,ou=User,ou=APT3,ou=WR,o=rki -W -x

gehen sollte, schlug wieder mit

   Enter LDAP Password:
   ldap_bind: Invalid credentials (49)
        additional info: NDS error: failed authentication (-669)

Kann ich daraus schließen, daß ich noch nicht das richtige Zertifikat
bekommen habe, noch nicht richtig ist, oder gibt es noch mehr Fehlermöglichkeiten?
Ich habe mal laut manpage von ldapwhoami noch -v hinzugefügt, was auch nur die
eine Zeile

   ldap_initialize( <DEFAULT> )

nach der Passwortabfrage hinzufügte.  Mit "-d3" kommt noch eine Menge
Debug-Output aber so richtig schlau werde ich daraus auch nicht und wegen
der Länge will ich das nicht einfach sinnlos hier posten.  Hat noch jemand
eine Idee?

Viele Grüße

      Andreas.

--
http://fam-tille.de

Reply to:

References:
- pam_ldap debugging
  - From: Andreas Tille <tillea@rki.de>
- Re: pam_ldap debugging
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: pam_ldap debugging
  - From: Andreas Tille <tillea@rki.de>
- Re: pam_ldap debugging
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: pam_ldap debugging
  - From: Andreas Tille <tillea@rki.de>
- Re: pam_ldap debugging
  - From: Christian Schmidt <Christian.Schmidt@chemie.uni-hamburg.de>
- Re: pam_ldap debugging
  - From: Andreas Tille <tillea@rki.de>
- Re: pam_ldap debugging
  - From: Reinhold Plew <Reinhold.Plew@aedon-its.de>

Prev by Date: Re: Selbsgebaute Kernel funktionieren nicht
Next by Date: Re: Selbsgebaute Kernel funktionieren nicht
Previous by thread: Re: pam_ldap debugging
Next by thread: Re: pam_ldap debugging
Index(es):
- Date
- Thread