Guten Morgen,
ich habe ein Problem mit slapd.
Ich habe einen Server auf Basis von testing aufgesetzt. (Und das mache
ich schon seit Jahren so, bislang hatte ich damit keine nennenswerten
Probleme. Desktops sind bei mir in der Regel sogar unstable :-))
Ich habe vor ca. 3 Wochen slapd installiert. Aber das Paket wollte sich
schon nicht installieren lassen. Daher habe ich dann slapd 2.4.25-3 (aus
unstable) installiert. Das hat dann auch problemlos funktioniert.
Mittlerweile ist das Paket sogar von unstable nach testing gewandert.
Anschließend habe ich die READMEs gelesen und war erfreut zu hören, dass
die Konfiguration nicht mehr über normale Config-Dateien erfolgt, sondern
über LDIF-Dateien on the fly bei laufendem Betrieb in den Server integriert
werden können. Feine Sache das, wenn ich denn nur schlau genug wäre, diese
LDIF-Dateien passend zu erstellen. Leider finde ich noch keine große Doku,
wie man das macht, im Web. :-(
Ich habe dennoch versucht, die üblichen Ergänzungen, die man früher in
/etc/ldap/slapd.conf eingetragen hätte, um ldap über TLS oder SSL zu
betreiben, als LDIF-Datei zu konvertieren. Das ldapadd ... ist dann
regelmäßig fehlgeschlagen.
Da es auf dem Weg nicht ging, ich das auf dem bisherigen Weg aber schon mal
hinbekommen habe, habe ich beschlossen, den Rückschritt zu wagen, und slapd
klassisch zu konfigurieren. Dazu habe ich in /etc/defaults/slapd
festgelegt, dass die Konfiguration wie bisher üblich zu finden ist, habe
das Template aus /usr/share/doc/slapd/examples/slapd.conf genommen, die
Variablen entsprechend ersetzt und /etc/init.d/slapd restart ausgeführt.
Soweit so gut, slapd lief, ldapsearch -x hat die richtigen Ergebnisse
geliefert. Scheint schon mal zu funktionieren.
Nächster Schritt. Ich habe in /etc/defaults/slapd das ldaps-Protokoll
hinzugefügt. lsof sieht dann auch auf dem IPv4 und IPv6-Interface unter
Port 636 einen ldap-Prozess.
Darauf habe ich in /etc/ldap/slapd.conf die 3 Zeilen für die
Zertifikatsgeschichten (TLSCACertificateFile, TLSCertificateFile und
TLSCertificateKeyFile) hinzugefügt und slapd erneut gestartet.
Das hat dann nicht geklappt. slapd meldete im Syslog
main: TLS init def ctx failed: −1
Diese Fehlermeldung wird in einigen Howtos beschrieben. Ich fand es z. B.
in http://wiki.debian.org/LDAP/OpenLDAPSetup .
Hier wird empfohlen, festzustellen, welche Verschlüsselungen mein openLDAP
anbietet, in dem man folgendes aufruft:
gnutls-cli-debug -p 636 ldap
Das ist die Ausgabe:
----8<----
Resolving 'ldap'...
Connecting to '2001:...::11:636'...
Checking for SSL 3.0 support... no
Checking whether %COMPAT is required... yes
Checking for TLS 1.0 support... no
Checking for TLS 1.1 support... no
Checking fallback from TLS 1.1 to... failed
Checking for TLS 1.2 support... no
Checking whether we need to disable TLS 1.0... yes
Server does not support any of SSL 3.0, TLS 1.0 and TLS 1.1
----8<----
Verstehe ich das richtig, dass dieser slapd kein TLS, SSL oder was auch
immer versteht?
Ich bitte um Hilfe oder Hinweise, was ich in diesem Fall machen kann.
Danke
Jan
--
=== ypchsh /usr/local/bin/emacs :-) (-: ``Go FORTH now and create ...'' ===
Attachment:
smime.p7s
Description: S/MIME cryptographic signature