On 2014-01-17 14:45, Heiko Schlittermann wrote:
> Lars Schimmer <l.schimmer@cgv.tugraz.at> (Fr 17 Jan 2014 11:19:24 CET):
>>
>> Hm, nö. Interessant:
>>
>> schimmer@tetris ~ % openssl s_client -CAfile
>> /etc/ssl/certs/cgv.org.2.crt -host 129.27.218.1 -port 636
>> CONNECTED(00000003)
>> 140350555530920:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
>> ---
>
> Das sieht so aus, als würde dort gar kein SSL gesprochen.
>
>> Was will der mir jetzt damit sagen, das da kein SSL lauscht? Das das
>> Zertifikat ned passt?
>> Jedenfalls ergibt eine Abfrage:
>> ldapsearch -d 1 -v -b 'dc=cgv, dc=org' -x -H ldap://ldap.cgv.org:636
>> was anderes als
>> ldapsearch -d 1 -v -b 'dc=cgv, dc=org' -x -H ldap://ldap.cgv.org
>>
>> - bei letzterer zeigt er die Einträge an, bei der :636 gibt es ne
>> Fehlermeldung:
>
> …
>> ldap_free_connection: actually freed
>>
>>
>>> … und daß TLS_CACERTDIR von ignoriert wird, weißt Du? (ldapsearch ist
>>> gegen GnuTLS gelinkt, also wird nur TLS_CACERT (ein File!) gelesen.
> …
>>
>> Auch wenn mir das etwas komisch für SSL vorkommt, eher TLS?
>
> Auf 636 ist „ssl on connect“, dort müsste also der s_client sofort
> erfolgereich mit einem SSL-Handshake anfangen. Wenn das nicht so ist,
> könnte es Klartext sein, dann müsste aber das funktionieren, eben LDAP
> ohne „s“:
>
> ldapsearch -H ldap://…:636/
> ebenso wie
> ldapsearch -H ldap://…/
>
>
> Wie ist das Symptom bei
>
> LDAPTLS_REQCERT=never \
> ldapsearch -Z -H ldap://…/
> und
> LDAPTLS_REQCERT=never \
> ldapsearch -ZZ -H ldap://…/
>
> Das sollte TCP|LDAP|TLS machen. Im Unterschied zum
> Port 636 mit ldaps, wo TCP|TLS|LDAP gemacht wird.
Hm, auch ned wie erwartet:
LDAPTLS_REQCERT=never ldapsearch -Z -d 1 -v -b 'dc=cgv, dc=org' -x -H
ldaps://ldap.cgv.org
:(
ldap_url_parse_ext(ldaps://ldap.cgv.org)
ldap_initialize( ldaps://ldap.eg.org:636/??base )
ldap_create
ldap_url_parse_ext(ldaps://ldap.cgv.org:636/??base)
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.cgv.org:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 129.27.218.1:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: can't connect: A TLS packet with unexpected length was received..
ldap_err2string
ldap_start_tls: Can't contact LDAP server (-1)
additional info: A TLS packet with unexpected length was received.
ldap_sasl_bind
ldap_send_initial_request
ldap_send_server_request
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
LDAPTLS_REQCERT=never ldapsearch -ZZ -d 1 -v -b 'dc=cgv, dc=org' -x -H
ldaps://ldap.cgv.org
:(
ldap_url_parse_ext(ldaps://ldap.cgv.org)
ldap_initialize( ldaps://ldap.cgv.org:636/??base )
ldap_create
ldap_url_parse_ext(ldaps://ldap.cgv.org:636/??base)
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.cgv.org:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 129.27.218.1:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: can't connect: A TLS packet with unexpected length was received..
ldap_err2string
ldap_start_tls: Can't contact LDAP server (-1)
additional info: A TLS packet with unexpected length was received.
> Sagt der Server etwas, wenn Du mit dem s_client auf den Port 636 gehst?
> Was steht in der Prozessliste der Serverseite beim slapd?
>
> slapd … ldaps:/// ldap:///
Da steht: openldap 9015 0.0 0.8 509004 8396 ? Ssl Jan16
0:00 /usr/sbin/slapd -h ldaps:/// ldapi:/// ldap:/// -g openldap -u
openldap -F /etc/ldap/slapd.d
Also theoretisch lapds://
MfG,
Lars Schimmer
--
-------------------------------------------------------------
TU Graz, Institut für ComputerGraphik & WissensVisualisierung
Tel: +43 316 873-5405 E-Mail: l.schimmer@cgv.tugraz.at
Fax: +43 316 873-5402 PGP-Key-ID: 0x4A9B1723
Attachment:
signature.asc
Description: OpenPGP digital signature