openLDAP ssl/tls Centos 6.3
Katerina Bubenickova
katerina.bubenickova na plbohnice.cz
Středa Březen 12 16:11:24 CET 2014
>
> Podle toho id=1002 soudím, že to možná nebyl úplně "čerstvý" server.
> Neobjevily se nějaké další hlášky dřív, zejména při prvním pokusu po
> restartu?
Server je starý už možná rok, naklonovaný na jinou virtuální mašinu, ale
teď jsem na něm chtěla opravdu rozběhnout šifrování, což se mi
nepodařilo tehdy při instalaci.
Teď jsem zase zapnula logování -1, ale log restartu je hodně dlouhý
první conn=1000 po restartu:
> Mar 12 15:20:46 test-LDAP slapd[7711]:
> Mar 12 15:20:46 test-LDAP slapd[7711]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 15:20:46 test-LDAP slapd[7711]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on 1
descriptor
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on:
> Mar 12 15:20:56 test-LDAP slapd[7711]:
> Mar 12 15:20:56 test-LDAP slapd[7711]: slap_listener_activate(8):
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=8 busy
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: >>> slap_listener(ldaps:///)
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: listen=8, new
connection on 14
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: added 14r (active)
listener=(nil)
> Mar 12 15:20:56 test-LDAP slapd[7711]: conn=1000 fd=14 ACCEPT from
IP=172.19.11.229:36132 (IP=0.0.0.0:636)
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on 1
descriptor
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on:
> Mar 12 15:20:56 test-LDAP slapd[7711]:
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on 1
descriptor
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on:
> Mar 12 15:20:56 test-LDAP slapd[7711]: 14r
> Mar 12 15:20:56 test-LDAP slapd[7711]:
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: read active on 14
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: connection_get(14)
> Mar 12 15:20:56 test-LDAP slapd[7711]: connection_get(14): got
connid=1000
> Mar 12 15:20:56 test-LDAP slapd[7711]: connection_read(14): checking
for input on id=1000
> Mar 12 15:20:56 test-LDAP slapd[7711]: connection_read(14): TLS accept
failure error=-1 id=1000, closing
> Mar 12 15:20:56 test-LDAP slapd[7711]: connection_closing: readying
conn=1000 sd=14 for close
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on 1
descriptor
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: activity on:
> Mar 12 15:20:56 test-LDAP slapd[7711]:
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 15:20:56 test-LDAP slapd[7711]: connection_close: conn=1000
sd=14
> Mar 12 15:20:56 test-LDAP slapd[7711]: daemon: removing 14
> Mar 12 15:20:56 test-LDAP slapd[7711]: conn=1000 fd=14 closed (TLS
negotiation failure)
> Mar 12 15:35:46 test-LDAP slapd[7711]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 15:35:46 test-LDAP slapd[7711]: daemon: epoll: listen=9
active_threads=0 tvp=zero
>
----
> Připadá mi, že dále je v tom citovaném výpisu jen konec zpracování
jednoho
> spojení a pak začátek zpracování druhého spojení. Je to nějaké
ukecanější,
> ale nikde tam není nic o TLS.
asi jsem byla rychlejší než syslog - tohle je konec spojení 1003 a
jestli tomu dobře rozumím 1004 je tls a pak je začátek spojení
ldapi:///,
kterým jsem zase snížila úroveň logování, to už jsem nekopírovala.
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: activity on 1
descriptor
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: activity on:
> Mar 12 13:23:33 test-LDAP slapd[7481]: 14r
> Mar 12 13:23:33 test-LDAP slapd[7481]:
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: read active on 14
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 13:23:33 test-LDAP slapd[7481]: connection_get(14)
> Mar 12 13:23:33 test-LDAP slapd[7481]: connection_get(14): got
connid=1004
> Mar 12 13:23:33 test-LDAP slapd[7481]: connection_read(14): checking
for input on id=1004
> Mar 12 13:23:33 test-LDAP slapd[7481]: connection_read(14): TLS accept
failure error=-1 id=1004, closing <<==== tohle je o tls
> Mar 12 13:23:33 test-LDAP slapd[7481]: connection_closing: readying
conn=1004 sd=14 for close
> Mar 12 13:23:33 test-LDAP slapd[7481]: connection_close: conn=1004
sd=14
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: removing 14
> Mar 12 13:23:33 test-LDAP slapd[7481]: conn=1004 fd=14 closed (TLS
negotiation failure) <<======== tohle je o tls
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: activity on 1
descriptor
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: activity on:
> Mar 12 13:23:33 test-LDAP slapd[7481]:
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 13:23:33 test-LDAP slapd[7481]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 13:28:46 test-LDAP slapd[7481]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 13:28:46 test-LDAP slapd[7481]: daemon: epoll: listen=9
active_threads=0 tvp=zero
> Mar 12 13:36:11 test-LDAP slapd[7481]: daemon: activity on 1
descriptor
> Mar 12 13:36:11 test-LDAP slapd[7481]: daemon: activity on:
> Mar 12 13:36:11 test-LDAP slapd[7481]:
> Mar 12 13:36:11 test-LDAP slapd[7481]: slap_listener_activate(9):
> Mar 12 13:36:11 test-LDAP slapd[7481]: daemon: epoll: listen=8
active_threads=0 tvp=zero
> Mar 12 13:36:11 test-LDAP slapd[7481]: daemon: epoll: listen=9 busy
> Mar 12 13:36:11 test-LDAP slapd[7481]: >>> slap_listener(ldapi:///)
>
Ještě jeden nápad - změnili jsme doménu, takže máme bohnice.cz místo
plbohnice.cz, ale v tom ldapu zůstalo
> Mar 12 16:00:57 test-LDAP slapd[7809]: => send_search_entry: conn 1000
dn="dc=plbohnice,dc=cz"
neumím to rychle změnit přes jxplorer, musela bych si vyrobit nějaký
ldif a vyzkoušet, jestli by změna pomohla.
Ale to asi až zítra.
Moc děkuju za pomoc
Kateřina
Další informace o konferenci Linux