Guten Morgen, ich habe ein Problem mit slapd. Ich habe einen Server auf Basis von testing aufgesetzt. (Und das mache ich schon seit Jahren so, bislang hatte ich damit keine nennenswerten Probleme. Desktops sind bei mir in der Regel sogar unstable :-)) Ich habe vor ca. 3 Wochen slapd installiert. Aber das Paket wollte sich schon nicht installieren lassen. Daher habe ich dann slapd 2.4.25-3 (aus unstable) installiert. Das hat dann auch problemlos funktioniert. Mittlerweile ist das Paket sogar von unstable nach testing gewandert. Anschließend habe ich die READMEs gelesen und war erfreut zu hören, dass die Konfiguration nicht mehr über normale Config-Dateien erfolgt, sondern über LDIF-Dateien on the fly bei laufendem Betrieb in den Server integriert werden können. Feine Sache das, wenn ich denn nur schlau genug wäre, diese LDIF-Dateien passend zu erstellen. Leider finde ich noch keine große Doku, wie man das macht, im Web. :-( Ich habe dennoch versucht, die üblichen Ergänzungen, die man früher in /etc/ldap/slapd.conf eingetragen hätte, um ldap über TLS oder SSL zu betreiben, als LDIF-Datei zu konvertieren. Das ldapadd ... ist dann regelmäßig fehlgeschlagen. Da es auf dem Weg nicht ging, ich das auf dem bisherigen Weg aber schon mal hinbekommen habe, habe ich beschlossen, den Rückschritt zu wagen, und slapd klassisch zu konfigurieren. Dazu habe ich in /etc/defaults/slapd festgelegt, dass die Konfiguration wie bisher üblich zu finden ist, habe das Template aus /usr/share/doc/slapd/examples/slapd.conf genommen, die Variablen entsprechend ersetzt und /etc/init.d/slapd restart ausgeführt. Soweit so gut, slapd lief, ldapsearch -x hat die richtigen Ergebnisse geliefert. Scheint schon mal zu funktionieren. Nächster Schritt. Ich habe in /etc/defaults/slapd das ldaps-Protokoll hinzugefügt. lsof sieht dann auch auf dem IPv4 und IPv6-Interface unter Port 636 einen ldap-Prozess. Darauf habe ich in /etc/ldap/slapd.conf die 3 Zeilen für die Zertifikatsgeschichten (TLSCACertificateFile, TLSCertificateFile und TLSCertificateKeyFile) hinzugefügt und slapd erneut gestartet. Das hat dann nicht geklappt. slapd meldete im Syslog main: TLS init def ctx failed: −1 Diese Fehlermeldung wird in einigen Howtos beschrieben. Ich fand es z. B. in http://wiki.debian.org/LDAP/OpenLDAPSetup . Hier wird empfohlen, festzustellen, welche Verschlüsselungen mein openLDAP anbietet, in dem man folgendes aufruft: gnutls-cli-debug -p 636 ldap Das ist die Ausgabe: ----8<---- Resolving 'ldap'... Connecting to '2001:...::11:636'... Checking for SSL 3.0 support... no Checking whether %COMPAT is required... yes Checking for TLS 1.0 support... no Checking for TLS 1.1 support... no Checking fallback from TLS 1.1 to... failed Checking for TLS 1.2 support... no Checking whether we need to disable TLS 1.0... yes Server does not support any of SSL 3.0, TLS 1.0 and TLS 1.1 ----8<---- Verstehe ich das richtig, dass dieser slapd kein TLS, SSL oder was auch immer versteht? Ich bitte um Hilfe oder Hinweise, was ich in diesem Fall machen kann. Danke Jan -- === ypchsh /usr/local/bin/emacs :-) (-: ``Go FORTH now and create ...'' ===
Attachment:
smime.p7s
Description: S/MIME cryptographic signature