lenny: Openldap und TLS

To: debian-user-german@lists.debian.org
Subject: lenny: Openldap und TLS
From: Thomas Günther <thomas.guenther@gmx.de>
Date: Thu, 12 Feb 2009 10:04:54 +0100
Message-id: <[🔎] 20090212100454.5d5959f3@pigpen.uni-duisburg.de>

Hallo,

ich habe Probleme mit Openldap und TLS unter Lenny.

1. Problem
Wenn ich als root auf dem ldap-client eine 'su - <user>' ausführe,
bekomme ich als Fehlermeldung "Unbekannte ID: <user>". Im Log des
Servers taucht dazu folgende Fehlermeldung auf:

Feb 12 09:28:19 <server> slapd[2255]: conn=34 fd=21 ACCEPT from
  IP=<client-IP>:56592 (IP=<server-IP>:389)
Feb 12 09:28:19 <server> slapd[2255]: conn=34 op=0 EXT
  oid=1.3.6.1.4.1.1466.20037
Feb 12 09:28:19 <server> slapd[2255]: conn=34 op=0 STARTTLS
Feb 12 09:28:19 <server> slapd[2255]: conn=34 op=0 RESULT oid= err=0
  text=
Feb 12 09:28:19 <server> slapd[2255]: conn=34 fd=21 closed (TLS
negotiation failure)

Mit einem 'ldapsearch -x -ZZ' bekomme ich auf dem Client die
Fehlermeldung: "ldap_start_tls: Connect error (-11)" und auf dem Server
die gleiche wie oben.

Insgesamt scheint was mit den Zertifikaten nicht zu stimmen.

Dazu als Anmerkung: Es handelt sich um selbst erzeugte Zertifikate, die
mit einem ebenso selbst erzeugtem CA-Zertifikat signiert sind.
Auf die Art und Weise erstellte Zertifikate benutze ich auch für
Webserver und VPN-Server. Da scheint alles problemlos zu laufen. Die
Verbindungen sind verschlüsselt. Die Zertifikate werden natürlich von
Mozilla und Co. als "Nicht vertrauenswürdig" eingestuft, da von keiner
offiziellen CA signiert. Aber sie erfüllen ihren Zweck.

Hat irgendjemand eine Idee, was das Problem sein könnte?


2. Problem
Mit einem 'ldapsearch -x' liefert mir den LDAP-Server alle Einträge
zurück, obwohl auf dem Client in '/etc/ldap/ldap.conf' der Eintrag
'TLS_REQCERT demand' enthalten ist, was nach meinem Verständnis soviel
bedeutet wie "Wenn kein Zertifikat vorhanden ist oder das vorhandene
unbrauchbar (bad), dann weise die Verbindung zurück.".
Der Client scheint das 'TLS_REQCERT demand' zu ignorieren.
Selbiges gilt offensichtlich für den Server. In der /etc/ldap/slapd.conf
habe ich ein 'TLSVerifyCLient demand' eingetragen. Auch er scheint zu
ignorieren, dass ein Zertifikat erforderlich ist. Jedenfalls kann man
die Daten im Netz mitlesen.

Gibts dazu Ideen, wo das Problem liegen könnte?



Gruss
Thomas

Reply to:

Follow-Ups:
- [Part. Gelöst] lenny: Openldap und TLS
  - From: Thomas Günther <thomas.guenther@gmx.de>

Prev by Date: Re: Hallo
Next by Date: Re: Postfix bind Adresse bei System mit IP Aliasing
Previous by thread: Re: vermurkstes Upgrade
Next by thread: [Part. Gelöst] lenny: Openldap und TLS
Index(es):
- Date
- Thread