[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LDAP y TLS

El Mon, 23 de Feb de 2009, a las 09:28:46AM -0300, Federico Alberto Sayd dijo:

> El caso es que TLS no funciona sobre un puerto diferente del 389, o sea  
> que no debes usar 636, sino el nativo: 389, tampoco la uri ldaps:// (con  
> la "s" de seguro)

Pero ¿eso es cosa de gnutls? En todos los tutoriales que he visto en
internet ldap con el certificado escuchaba por el 636. Además openssl y
gnutls se conectan perfectamente a ese puerto, lo que no lo hacen son las
aplicaciones de ldap-utils.

De todas maneras, te hago caso a ver:

Arranco el servidor así:

# slapd -u openldap -g openlap -h "ldaps://ldap.z1.lan:389" -d16383 \
  -f /etc/ldap/slapd.conf

(Entiendo que eso de que no ponga lo de la "s" de seguro es el el
cliente, porque si es en el servidor, entonces todo va a ir en claro y
eso ya me funciona y no necesita de certificados)

openssl y gnutls se conectan sin problemas. Pruebo ahora un ldapsearch:

$ ldapsearch -x -LLL -h ldap.z1.lan
ldap_result: Can't contact LDAP server (-1)

Y en el servidor:

TLS: can't accept. A record packet with illegal version was received..

Cambia el error. Si pongo ldaps (-H ldaps://ldap.z1.lan:389) entonces
vuelvo al error original:

> Por otra parte tienes que asegurarte de que en el certificado creado el  
> valor cn debe ser igual al nombre del servidor ldap. De lo contrario el  
> cliente reusará conectarse

Sí, eso lo he hecho bien:

# The hostname in the certificate matches 'ldap.z1.lan'.

Dice gnutls cuando lo conecto al puerto para que me muestre el
certificado.

:(

Gracias por tu interés.

-- 
   Y mis desdichas son como cerezas,
que voy por una y, de una en otra asidas,
vuelvo con todo un plato de tristezas.
                  --- Tomé de Burguillos ---
Reply to: