El Mon, 23 de Feb de 2009, a las 09:28:46AM -0300, Federico Alberto Sayd dijo:
El caso es que TLS no funciona sobre un puerto diferente del 389, o sea
que no debes usar 636, sino el nativo: 389, tampoco la uri ldaps:// (con
la "s" de seguro)
Pero ¿eso es cosa de gnutls? En todos los tutoriales que he visto en
internet ldap con el certificado escuchaba por el 636. Además openssl y
gnutls se conectan perfectamente a ese puerto, lo que no lo hacen son las
aplicaciones de ldap-utils.
De todas maneras, te hago caso a ver:
Arranco el servidor así:
# slapd -u openldap -g openlap -h "ldaps://ldap.z1.lan:389" -d16383 \
-f /etc/ldap/slapd.conf
(Entiendo que eso de que no ponga lo de la "s" de seguro es el el
cliente, porque si es en el servidor, entonces todo va a ir en claro y
eso ya me funciona y no necesita de certificados)
openssl y gnutls se conectan sin problemas. Pruebo ahora un ldapsearch:
$ ldapsearch -x -LLL -h ldap.z1.lan
ldap_result: Can't contact LDAP server (-1)
Y en el servidor:
TLS: can't accept. A record packet with illegal version was received..
Cambia el error. Si pongo ldaps (-H ldaps://ldap.z1.lan:389) entonces
vuelvo al error original:
Por otra parte tienes que asegurarte de que en el certificado creado el
valor cn debe ser igual al nombre del servidor ldap. De lo contrario el
cliente reusará conectarse
Sí, eso lo he hecho bien:
# The hostname in the certificate matches 'ldap.z1.lan'.
Dice gnutls cuando lo conecto al puerto para que me muestre el
certificado.
:(
Gracias por tu interés.