Retour à Forum Unix / Linux

OpenLDAP SSL / TLS problème avec pam / nss

  • humbletech99
  • Proficient
  • Proficient
  • Avatar de l’utilisateur
  • Inscription: Mar 09, 2006
  • Messages: 300
  • Status: Offline

Message Juin 12th, 2009, 5:39 am

J'ai un serveur OpenLDAP en cours d'exécution que je suis en train de se rendre à l'utilisation de SSL / TLS. Il fonctionne sans lui, mais il ne fonctionne pas quand je passe sur le protocole SSL / TLS.
Code: [ Select ]
getent passwd

ne renvoie rien à partir du serveur LDAP, et les journaux montrent:
Code: [ Select ]
Jun 12 13:23:22 myhost getent: nss_ldap: failed to bind to LDAP server ldaps://ldap.mydomain.com/: Can't contact LDAP server
Jun 12 13:23:22 myhost getent: nss_ldap: could not search LDAP server - Server is unavailable
Jun 12 13:23:22 myhost slapd[31771]: conn=9 fd=15 ACCEPT from IP=x.x.x.x:59963 (IP=0.0.0.0:636)
Jun 12 13:23:22 myhost slapd[31771]: conn=9 fd=15 closed (TLS negotiation failure)
  1. Jun 12 13:23:22 myhost getent: nss_ldap: failed to bind to LDAP server ldaps://ldap.mydomain.com/: Can't contact LDAP server
  2. Jun 12 13:23:22 myhost getent: nss_ldap: could not search LDAP server - Server is unavailable
  3. Jun 12 13:23:22 myhost slapd[31771]: conn=9 fd=15 ACCEPT from IP=x.x.x.x:59963 (IP=0.0.0.0:636)
  4. Jun 12 13:23:22 myhost slapd[31771]: conn=9 fd=15 closed (TLS negotiation failure)

J'ai mis ces options dans ldap.conf pour le SNRS / modules pam ldap
Code: [ Select ]
tls_checkpeer yes
tls_ciphers HIGH
ssl yes
tls_cacert /etc/openldap/cacerts/slapd.cert
  1. tls_checkpeer yes
  2. tls_ciphers HIGH
  3. ssl yes
  4. tls_cacert /etc/openldap/cacerts/slapd.cert

et j'ai les options suivantes dans slapd. conf:
Code: [ Select ]
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.cert
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem
  1. TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
  2. TLSCertificateFile /etc/pki/tls/certs/slapd.cert
  3. TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem


Je ne pense pas que le débogage de plus en plus slapd aidera comme il ressemble à son client le SNRS et les modules ldap pam qui n'arrivent pas à vérifier le certificat. Paramètre
Code: [ Select ]
tls_checkpeer no
permet à l'getent au travail, mais bien entendu ce n'est pas sécurisé...

Le fichier cert fichier PEM et y sont avec les autorisations de droit, et que je teste ce depuis le même serveur que slapd est en cours d'exécution de la droite aujourd'hui, donc ce cacert mentionnés dans le LDAP. fichier de configuration est là sur le système de fichiers local aussi et je l'ai copié dans le droit chemin...

Donc ma question est, comment je fais le débogage à ce sujet? Je ne vois pas l'exploitation forestière de plus amples renseignements ou des options pour augmenter l'enregistrement pour le PAM / modules nss...et je ne sais pas grand-chose openssl en général (je sais que je devrais, mais Ive a toujours détesté)
  • Anonymous
  • Bot
  • No Avatar
  • Inscription: 25 Feb 2008
  • Messages: ?
  • Loc: Ozzuland
  • Status: Online

Message Juin 12th, 2009, 5:39 am

  • Daemonguy
  • Moderator
  • Web Master
  • Avatar de l’utilisateur
  • Inscription: Jan 23, 2004
  • Messages: 2673
  • Loc: Somewhere outside the box in Sarasota, FL.
  • Status: Offline

Message Juin 12th, 2009, 12:04 pm

Est-il TLS 2.1 ou plus tard?

http://www.openldap.org/faq/data/cache/185.html

Sa configuration légèrement différente.
"It's always a long day, 86,400 won't fit into a short."
  • humbletech99
  • Proficient
  • Proficient
  • Avatar de l’utilisateur
  • Inscription: Mar 09, 2006
  • Messages: 300
  • Status: Offline

Message Juin 15th, 2009, 2:02 am

Ouais je pense que c'est là le problème, Ill devons faire ce bout CA. Merci


EDIT: Ive a essayé les instructions sur la page s_client openssl et que...montre
Code: [ Select ]
Verify return code: 0 (ok)

indiquant que le CA et les fichiers cert slapd sont OK, mais quand fait un getent j'obtiens toujours
Code: [ Select ]
Jun 15 11:20:29 myhost getent: nss_ldap: failed to bind to LDAP server ldaps://ldap.mydomain.com/: Can't contact LDAP server
Jun 15 11:20:29 myhost getent: nss_ldap: could not search LDAP server - Server is unavailable
 
Jun 15 11:20:29 myhost slapd[7523]: conn=3 fd=15 ACCEPT from IP=x.x.x.x:57431 (IP=0.0.0.0:636)
Jun 15 11:20:29 myhost slapd[7523]: conn=3 fd=15 closed (TLS negotiation failure)
  1. Jun 15 11:20:29 myhost getent: nss_ldap: failed to bind to LDAP server ldaps://ldap.mydomain.com/: Can't contact LDAP server
  2. Jun 15 11:20:29 myhost getent: nss_ldap: could not search LDAP server - Server is unavailable
  3.  
  4. Jun 15 11:20:29 myhost slapd[7523]: conn=3 fd=15 ACCEPT from IP=x.x.x.x:57431 (IP=0.0.0.0:636)
  5. Jun 15 11:20:29 myhost slapd[7523]: conn=3 fd=15 closed (TLS negotiation failure)

Même si j'ai mis à jour mon fichier / etc / ldap.conf pour pam / nss et slapd.conf avec les chemins de droit à des certificats et des clés privées.

Im à une perte totale à ce stade.

Page 1 sur 1

Afficher de l'information

  • Total des messages de ce sujet: 3 messages
  • Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 63 invités
  • Vous ne pouvez pas poster de nouveaux sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas éditer vos messages
  • Vous ne pouvez pas supprimer vos messages
  • Vous ne pouvez pas joindre des fichiers
 
 

© 2011 Unmelted, LLC. Ozzu® est une marque déposée de Unmelted, LLC