Lars Schimmer <l.schimmer@cgv.tugraz.at> (Do 16 Jan 2014 14:18:45 CET): > Hallo!
>
> Ich bin ein wenig am Verzweifeln.
> Ich habe einen LDAP Server unter Debian Wheezy aufgesetzt und versuche
> den nun mit LDAPS:// anzusprechen.
> Unter ldap:// funktioniert dieser wie erwartet, aber ldaps:// kommt
> immer der selbe Fehler:
>
> ldap_pvt_connect: fd: 3 tm: -1 async: 0
> TLS: can't connect: A TLS packet with unexpected length was received..
> ldap_err2string
> ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Du verwendest
ldapsearch -H ldaps://…
… so dass also auch wirklich TLS on connect gemacht wird? Und nicht
„STARTTLS“? (Ich glaube allerdings, dass dann der Fehler anders ausähe.)
Es kann (ich erinnere mich nicht gut an das Fehlerbild) auch ein
falsches, nicht prüfbares Zertifikat sein:
LDAPTLS_REQCERT=never ldapsearch -H ldaps://…
Siehe auch ldap.conf(5)
> Nach der Webseite https://wiki.debian.org/LDAP/OpenLDAPSetup scheint es
> wohl mit meinen Certs zusammen zu hängen.
> Wir hatten für diverse Server ein Wildcard Zertifikat unter OpenSSL
> erstellt, damit wir mehrere Services damit bedienen können.
> Nun scheints so, das GnuTLS ned die OpenSSL Certs nutzen kann.
Sollte unproblematisch sein, muss aber halt überprüfbar sein,
möglicherweise musst Du den CA-Pfad korrekt eintragen bzw. im CN des
Certs auch den korrekten Hostnamen haben. Einige Clients mögen auch
keine Wildcards.
Oder es ein OpenSSL-erzeugtes Cert mit MD5 Signatur. Das wird von GnuTLS
auch nicht gemocht.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: 7CBF764A -
gnupg fingerprint: 9288 F17D BBF9 9625 5ABC 285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B)-
Attachment:
signature.asc
Description: Digital signature