openLDAP ssl/tls Centos 6.3

Katerina Bubenickova katerina.bubenickova na plbohnice.cz
Úterý Březen 11 16:18:56 CET 2014 

Děkuju za povzbuzení,
ještě zkusím něco přečíst a pak zkusím ten debian ;-] 

Kateřina

On Tue, 2014-03-11 at 15:15 +0100, Jerry wrote:
> Hoj, 
> par postrehu co jsem mel s LDAPem. 
> 
> Daleko lehci nez delat LDAP na CentOSu (386 directory server apod,
slapd) je
> lehci vzit zakladni verzi Debianu, hodit na ni balickovy OpenLDAP a
apache,
> phpldapadmin pripadne LAM. Je na to k dispozici hodne howto's, vcetne 
> presneho navodu jak vytvaret a kopirovat a nakladat s certifikaty. 
> 
> LDAP je hrozne vybiravy co se tyce certifikatu a zpusobu jakym se
vola. 
> Pokud volas HOST s IP adresou a v certifikatu je uvedene DNS jmeno,
pak ti 
> odmitne. Taky by mohla byt moznost pri nekompatibilite formatu jakym
jsou 
> klice/certifikaty ulozeny - vcetne toho, ze musi znat certifikat CA. 
> Souhlasim, je to obcas hracka o nervy. 
> 
> Chyba nize spis vypada, ze to chtelo cist soubor a naslo adresar.
Mozna by 
> pomohlo podivat se do strace a zjistit co se tam deje.  
> 
> Jerry
> 
> 
> 
> ---------- Původní zpráva ----------
> Od: Katerina Bubenickova <katerina.bubenickova na plbohnice.cz>
> Komu: linux na linux.cz
> Datum: 11. 3. 2014 14:52:40
> Předmět: Re: openLDAP ssl/tls Centos 6.3
> 
> "> Potřebujete pro server veřejný a privátní klíč a k tomu veřejnému
> klíči 
> > ještě certifikát, který bude pro klienty akceptovatelný.
> 
> Podle 
>
https://www.centos.org/docs/5/html/CDS/ag/8.0/Managing_SSL-Using_certutil.
> html
> 
> 
> jsem vygenerovala db:
> 
> [root na test-LDAP openldap]# certutil -d /etc/openldap/certs -L
> 
> Certificate Nickname Trust
> Attributes
> 
> SSL,S/MIME,JAR/XPI
> 
> CA certificate CTu,u,u
> Server-Cert u,u,u
> -----
> 
> /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif
> 
> olcTLSCACertificatePath: /etc/openldap/certs
> olcTLSCertificateKeyFile: /etc/openldap/certs/pwdfile.txt
> olcTLSCertificateFile: "Server-Cert"
> ------
> 
> [root na test-LDAP certs]# ls -l
> total 100
> -rw-r--r--. 1 root root 619 Mar 11 09:54 cacert.asc
> -rw-------. 1 root root 1560 Mar 11 09:57 cacert.pk12
> -rw-r-----. 1 root ldap 65536 Mar 11 10:47 cert8.db
> -rw-r-----. 1 root ldap 16384 Mar 11 10:47 key3.db
> -rw-r--r--. 1 root root 78 Mar 11 09:46 noise.txt
> -r--------. 1 ldap ldap 19 Mar 11 09:45 pwdfile.txt
> -rw-r-----. 1 root ldap 16384 Mar 11 09:47 secmod.db
> 
> Zdá se mi, že tentokrát je to správně, ale stejně se nepřipojím
> 
> 
> 
> [root na test-LDAP cn=config]# ldapsearch -x -d 1 -ZZ -H
> ldaps://test-LDAP.bohnice.cz
> ldap_url_parse_ext(ldaps://test-LDAP.bohnice.cz)
> ldap_create
> ldap_url_parse_ext(ldaps://test-LDAP.bohnice.cz:636/??base)
> ldap_extended_operation_s
> ldap_extended_operation
> ldap_send_initial_request
> ldap_new_connection 1 1 0
> ldap_int_open_connection
> ldap_connect_to_host: TCP test-LDAP.bohnice.cz:636
> ldap_new_socket: 3
> ldap_prepare_socket: 3
> ldap_connect_to_host: Trying 172.19.11.229:636
> ldap_pvt_connect: fd: 3 tm: -1 async: 0
> TLS: certdb config: configDir='/etc/openldap/certs'
> tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
> TLS: using moznss security dir /etc/openldap/certs prefix .
> TLS: error: tlsm_PR_Recv returned 0 - error 21:Is a directory
> TLS: error: connect - force handshake failure: errno 21 - moznss error
> -5938
> TLS: can't connect: TLS error -5938:Encountered end of file.
> ldap_err2string
> ldap_start_tls: Can't contact LDAP server (-1)
> additional info: TLS error -5938:Encountered end of file
> 
> 
> Celé jsem to udělala 2x, podruhé podle
>
https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/
> 8.1/html/Administration_Guide/Managing_SSL-Using_certutil.html
> to je hodně podobný návod, ale výsledek vždycky stejný.
> 
> Jen jsem navíc upravila práva k db, aby skupina ldap mohla číst.
> 
> 
> /etc/openldap/ldap.conf
> #SIZELIMIT 12
> #TIMELIMIT 15
> #DEREF never
> ssl start_tls
> SIZELIMIT 1500
> TLS_REQCERT allow
> TLS_CACERTDIR /etc/open> URI ldaps://test-LDAP:636
> BASE dc=plbohnice,dc=cz
> HOST 172.19.11.229
> 
> 
> 
> 
> > slapd -V
> > @(#) $OpenLDAP: slapd 2.4.23 (Feb 3 2014 19:11:35) $
> 
> Budu vděčná za každou radu, třeba i jak se zbavit moznss a použít
> openssl
> Kateřina
> 
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux"
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux

Další informace o konferenci Linux