Openldap a problém s prodlevou s TLS/SSL

[Pavel Lisy]

Ing. Leoš Houser píše v Po 07. 12. 2009 v 14:37 +0100:
> Dobrý den,
> podle toho, jako popisujete, že při dotazu z jiného počítače není prodleva, 
> tak bych zkusil zkontrolovat nastavení loopback a localhost. Paradoxně může 
> být problém tam.

Bohužel mě ale nenapadá, kde bych měl hledat. 

1. dotazuji se vždy na celé DNS jméno, tj. např. ldap2.ldapnet.tmapy.cz
2. prodleva je pouze v případě, že požaduji TLS/SSL jinak ne

nějaké další návrhy?

Pavel Lisý

> 
> ----- Původní zpráva ----- 
> Od: "Pavel Lisy" <pali na tmapy.cz>
> Komu: <linux na linux.cz>
> Odesláno: 7. prosince 2009 13:27
> Předmět: Openldap a problém s prodlevou s TLS/SSL
> 
> 
> Dobrý den
> 
> narazil jsem na pro mě nepochopitelné chování v openldapu.
> 
> OpenLDAP server má na začátku viditelnou (kolem 1s) prodlevu pokud se
> připojuji přes TLS/SSL na lokální stroj,
> 
> Setkal jste se s tím někdo? Čím by to mohlo být?
> 
> 
> Mám testovací prostředí (momentálně s verzí 2.4.3, ale toto chování jsem
> pozoroval již dříve ve verzích 2.2.x resp. 2.3.x)
> 
> * ldapsearch přes TLS (resp. SSL) má na začátku viditelnou prodlevu, pokud 
> se připojuje na lokální stroj
> * ldapsearch přes TLS (resp. SSL) z jiného stroje (nebo na jiný stroj) je 
> bez prodlevy
> * ldapsearch bez TLS (resp. SSL) na lokální stroj i z jiného stroje je bez 
> prodlevy
> 
> Konfigurace v slapd.conf
> TLSCACertificateFile /etc/pki/tls/cacert.pem
> TLSCertificateFile /etc/pki/tls/certs/ldap1.ldapnet.tmapy.cz-cert.pem
> TLSCertificateKeyFile /etc/pki/tls/private/ldap1.ldapnet.tmapy.cz-key.pem
> 
> 
> Dotaz:
> ldapsearch24 -Z -h ldap2.ldapnet.tmapy.cz -x -s sub -D
> "cn=Manager,dc=tmapy,dc=cz" -b 'dc=tmapy,dc=cz' -w h*****o
> 
> Uvítám i odkaz na nějakou dokumentaci. Zatím se mi nepodařilo poskládat
> dotaz v angličtině tak, abych něco relevantního našel.
> 
> Pavel Lisý