openLDAP ssl/tls Centos 6.3

Jerry jry2000 na seznam.cz
Úterý Březen 11 15:15:53 CET 2014


Hoj, 
par postrehu co jsem mel s LDAPem. 

Daleko lehci nez delat LDAP na CentOSu (386 directory server apod, slapd) je
lehci vzit zakladni verzi Debianu, hodit na ni balickovy OpenLDAP a apache,
phpldapadmin pripadne LAM. Je na to k dispozici hodne howto's, vcetne 
presneho navodu jak vytvaret a kopirovat a nakladat s certifikaty. 

LDAP je hrozne vybiravy co se tyce certifikatu a zpusobu jakym se vola. 
Pokud volas HOST s IP adresou a v certifikatu je uvedene DNS jmeno, pak ti 
odmitne. Taky by mohla byt moznost pri nekompatibilite formatu jakym jsou 
klice/certifikaty ulozeny - vcetne toho, ze musi znat certifikat CA. 
Souhlasim, je to obcas hracka o nervy. 

Chyba nize spis vypada, ze to chtelo cist soubor a naslo adresar. Mozna by 
pomohlo podivat se do strace a zjistit co se tam deje.  

Jerry



---------- Původní zpráva ----------
Od: Katerina Bubenickova <katerina.bubenickova na plbohnice.cz>
Komu: linux na linux.cz
Datum: 11. 3. 2014 14:52:40
Předmět: Re: openLDAP ssl/tls Centos 6.3

"> Potřebujete pro server veřejný a privátní klíč a k tomu veřejnému
klíči 
> ještě certifikát, který bude pro klienty akceptovatelný.

Podle 
https://www.centos.org/docs/5/html/CDS/ag/8.0/Managing_SSL-Using_certutil.
html


jsem vygenerovala db:

[root na test-LDAP openldap]# certutil -d /etc/openldap/certs -L

Certificate Nickname Trust
Attributes

SSL,S/MIME,JAR/XPI

CA certificate CTu,u,u
Server-Cert u,u,u
-----

/etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif

olcTLSCACertificatePath: /etc/openldap/certs
olcTLSCertificateKeyFile: /etc/openldap/certs/pwdfile.txt
olcTLSCertificateFile: "Server-Cert"
------

[root na test-LDAP certs]# ls -l
total 100
-rw-r--r--. 1 root root 619 Mar 11 09:54 cacert.asc
-rw-------. 1 root root 1560 Mar 11 09:57 cacert.pk12
-rw-r-----. 1 root ldap 65536 Mar 11 10:47 cert8.db
-rw-r-----. 1 root ldap 16384 Mar 11 10:47 key3.db
-rw-r--r--. 1 root root 78 Mar 11 09:46 noise.txt
-r--------. 1 ldap ldap 19 Mar 11 09:45 pwdfile.txt
-rw-r-----. 1 root ldap 16384 Mar 11 09:47 secmod.db

Zdá se mi, že tentokrát je to správně, ale stejně se nepřipojím



[root na test-LDAP cn=config]# ldapsearch -x -d 1 -ZZ -H
ldaps://test-LDAP.bohnice.cz
ldap_url_parse_ext(ldaps://test-LDAP.bohnice.cz)
ldap_create
ldap_url_parse_ext(ldaps://test-LDAP.bohnice.cz:636/??base)
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP test-LDAP.bohnice.cz:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 172.19.11.229:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: certdb config: configDir='/etc/openldap/certs'
tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/certs prefix .
TLS: error: tlsm_PR_Recv returned 0 - error 21:Is a directory
TLS: error: connect - force handshake failure: errno 21 - moznss error
-5938
TLS: can't connect: TLS error -5938:Encountered end of file.
ldap_err2string
ldap_start_tls: Can't contact LDAP server (-1)
additional info: TLS error -5938:Encountered end of file


Celé jsem to udělala 2x, podruhé podle
https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/
8.1/html/Administration_Guide/Managing_SSL-Using_certutil.html
to je hodně podobný návod, ale výsledek vždycky stejný.

Jen jsem navíc upravila práva k db, aby skupina ldap mohla číst.


/etc/openldap/ldap.conf
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
ssl start_tls
SIZELIMIT 1500
TLS_REQCERT allow
TLS_CACERTDIR /etc/openldap/certs
URI ldaps://test-LDAP:636
BASE dc=plbohnice,dc=cz
HOST 172.19.11.229




> slapd -V
> @(#) $OpenLDAP: slapd 2.4.23 (Feb 3 2014 19:11:35) $

Budu vděčná za každou radu, třeba i jak se zbavit moznss a použít
openssl
Kateřina


_______________________________________________
Linux mailing list
Linux na linux.cz
http://www.linux.cz/mailman/listinfo/linux"


Další informace o konferenci Linux