Lars Schimmer <l.schimmer@cgv.tugraz.at> (Do 16 Jan 2014 15:50:14 CET):
> On 2014-01-16 14:53, Christian Schmidt wrote:
> > 16.01.2014 14:18, Lars Schimmer:
> >> Ich bin ein wenig am Verzweifeln. Ich habe einen LDAP Server unter
> >> Debian Wheezy aufgesetzt und versuche den nun mit LDAPS://
> >> anzusprechen. Unter ldap:// funktioniert dieser wie erwartet, aber
> >> ldaps:// kommt immer der selbe Fehler:
> >>
> >> ldap_pvt_connect: fd: 3 tm: -1 async: 0 TLS: can't connect: A TLS
> >> packet with unexpected length was received.. ldap_err2string
> >> ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
> >
> > Wie sehen die "Client-Einstellungen" aus? Sprich: Wie (=über welches
> > Interface) kontaktierst Du den Server? Und was steht als CN bzw.
> > Hostname in Deinem SSL-Zertifikat? Lauscht Dein slapd auf Port 636?
> > => Mehr Details!
>
> Ich versuch das ganze via 2. Linux Client mit ldapsearch, CN ist
> CN=*.cgv.org auf dem Server (Wildcard halt). Der slapd lauscht wie
> erwartet auf Port 636, sonst würd ja keine Fehlermeldung beim ldaosearch
> kommen ;-)
>
> Hostname sei dann ldap.cgv.org - und somit im Wildcard mit drinnen, es
> sei denn, slapd kann mit Wildcards ned um?
> Das der Client im ldap.conf auch die CA Cert braucht, it auch schon
> beachtet.
Was passiert, wenn Du
openssl s_client -CAfile <TLS_CACERT von ldap.conf> server:636
probierst? Gelinkt die Zertifikatsprüfung?
… und daß TLS_CACERTDIR von ignoriert wird, weißt Du? (ldapsearch ist
gegen GnuTLS gelinkt, also wird nur TLS_CACERT (ein File!) gelesen.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: 7CBF764A -
gnupg fingerprint: 9288 F17D BBF9 9625 5ABC 285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B)-
Attachment:
signature.asc
Description: Digital signature