On 2014-01-17 14:45, Heiko Schlittermann wrote: > Lars Schimmer <l.schimmer@cgv.tugraz.at> (Fr 17 Jan 2014 11:19:24 CET): >> >> Hm, nö. Interessant: >> >> schimmer@tetris ~ % openssl s_client -CAfile >> /etc/ssl/certs/cgv.org.2.crt -host 129.27.218.1 -port 636 >> CONNECTED(00000003) >> 140350555530920:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake >> --- > > Das sieht so aus, als würde dort gar kein SSL gesprochen. > >> Was will der mir jetzt damit sagen, das da kein SSL lauscht? Das das >> Zertifikat ned passt? >> Jedenfalls ergibt eine Abfrage: >> ldapsearch -d 1 -v -b 'dc=cgv, dc=org' -x -H ldap://ldap.cgv.org:636 >> was anderes als >> ldapsearch -d 1 -v -b 'dc=cgv, dc=org' -x -H ldap://ldap.cgv.org >> >> - bei letzterer zeigt er die Einträge an, bei der :636 gibt es ne >> Fehlermeldung: > > … >> ldap_free_connection: actually freed >> >> >>> … und daß TLS_CACERTDIR von ignoriert wird, weißt Du? (ldapsearch ist >>> gegen GnuTLS gelinkt, also wird nur TLS_CACERT (ein File!) gelesen. > … >> >> Auch wenn mir das etwas komisch für SSL vorkommt, eher TLS? > > Auf 636 ist „ssl on connect“, dort müsste also der s_client sofort > erfolgereich mit einem SSL-Handshake anfangen. Wenn das nicht so ist, > könnte es Klartext sein, dann müsste aber das funktionieren, eben LDAP > ohne „s“: > > ldapsearch -H ldap://…:636/ > ebenso wie > ldapsearch -H ldap://…/ > > > Wie ist das Symptom bei > > LDAPTLS_REQCERT=never \ > ldapsearch -Z -H ldap://…/ > und > LDAPTLS_REQCERT=never \ > ldapsearch -ZZ -H ldap://…/ > > Das sollte TCP|LDAP|TLS machen. Im Unterschied zum > Port 636 mit ldaps, wo TCP|TLS|LDAP gemacht wird. Hm, auch ned wie erwartet: LDAPTLS_REQCERT=never ldapsearch -Z -d 1 -v -b 'dc=cgv, dc=org' -x -H ldaps://ldap.cgv.org :( ldap_url_parse_ext(ldaps://ldap.cgv.org) ldap_initialize( ldaps://ldap.eg.org:636/??base ) ldap_create ldap_url_parse_ext(ldaps://ldap.cgv.org:636/??base) ldap_extended_operation_s ldap_extended_operation ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.cgv.org:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 129.27.218.1:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 TLS: can't connect: A TLS packet with unexpected length was received.. ldap_err2string ldap_start_tls: Can't contact LDAP server (-1) additional info: A TLS packet with unexpected length was received. ldap_sasl_bind ldap_send_initial_request ldap_send_server_request ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) LDAPTLS_REQCERT=never ldapsearch -ZZ -d 1 -v -b 'dc=cgv, dc=org' -x -H ldaps://ldap.cgv.org :( ldap_url_parse_ext(ldaps://ldap.cgv.org) ldap_initialize( ldaps://ldap.cgv.org:636/??base ) ldap_create ldap_url_parse_ext(ldaps://ldap.cgv.org:636/??base) ldap_extended_operation_s ldap_extended_operation ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.cgv.org:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 129.27.218.1:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 TLS: can't connect: A TLS packet with unexpected length was received.. ldap_err2string ldap_start_tls: Can't contact LDAP server (-1) additional info: A TLS packet with unexpected length was received. > Sagt der Server etwas, wenn Du mit dem s_client auf den Port 636 gehst? > Was steht in der Prozessliste der Serverseite beim slapd? > > slapd … ldaps:/// ldap:/// Da steht: openldap 9015 0.0 0.8 509004 8396 ? Ssl Jan16 0:00 /usr/sbin/slapd -h ldaps:/// ldapi:/// ldap:/// -g openldap -u openldap -F /etc/ldap/slapd.d Also theoretisch lapds:// MfG, Lars Schimmer -- ------------------------------------------------------------- TU Graz, Institut für ComputerGraphik & WissensVisualisierung Tel: +43 316 873-5405 E-Mail: l.schimmer@cgv.tugraz.at Fax: +43 316 873-5402 PGP-Key-ID: 0x4A9B1723
Attachment:
signature.asc
Description: OpenPGP digital signature