PAM auth over ldaps

Linux-haladó

Sziasztok!

A segítségetek szeretném kérni, ugyanis nem sikerül rábeszélnem A szervert, hogy B szerverről ldaps-en autentikáljon. Amit eddig csináltam:
B szerveren beállítottam a slapd-t, legeneráltam a certeket meg kulcsokat, és a konfigba betettem őket:

TLSCertificateFile /etc/ldap/ssl/ldap.cert
TLSCertificateKeyFile /etc/ldap/ssl/ldap.key
TLSCACertificateFile /etc/ldap/ssl/ca.cert
TLSVerifyClient allow

A szervern beállítottam, hogy ldap-ről autentikáljon, sima ldap megy is nincs semmi para, de mikor megpróbáltam ldaps-re átállítani az már nem ment. Amikkel itt próbálkoztam (/etc/ldap.conf):
uri ldaps://foo.hu/
port 636
bind_policy soft
ssl start_tls
#ssl on
tls_checkpeer yes
tls_cacertdir /etc/ssl/certs
tls_ciphers TLSv1
tls_reqcert always

A certet letöltöttem a /etc/ssl/certs könyvtárba. Az itt felsorolt beállításokkal játszadoztam. Az alábbiak voltak:

(ezt sikerült orvosolni)
Apr 27 11:29:28 lion slapd[17991]: conn=23090 fd=21 ACCEPT from IP=84.2.39.124:3
2662 (IP=195.184.9.239:636)
Apr 27 11:29:28 lion slapd[17991]: conn=23090 fd=21 closed (TLS negotiation failure)

Apr 27 11:29:28 lion slapd[17991]: conn=23092 fd=21 ACCEPT from IP=84.2.39.124:32664 (IP=195.184.9.239:636)
Apr 27 11:29:28 lion slapd[17991]: conn=23092 fd=21 TLS established tls_ssf=256 ssf=256
Apr 27 11:29:28 lion slapd[17991]: conn=23092 fd=21 closed (connection lost)

De a beléptetés csak nem ment. Mit mulasztottam el beállítani?

A Válaszokat előre is köszi.

  • 2371 megtekintés

( calamari | 2012. 04. 28., szo – 15:22 )

Nem az a baj, hogy ott (az LDAP szerver 636-os portján) nem TLS van, hanem SSL, nálad pedig TLS van beállítva PAM-ban?
Csak tipp, de gyanús.

$ openssl s_client -connect foo.hu:636
CONNECTED(00000003)
depth=0 C = HU, ST = Budapest, L = Budapest, O = Foo Ltd, OU = IT, CN = foo.hu, emailAddress = postmaster@foo.hu
verify error:num=18:self signed certificate
verify return:1
depth=0 C = HU, ST = Budapest, L = Budapest, O =Foo Ltd, OU = IT, CN = foo.hu, emailAddress = postmaster@foo.hu
verify return:1
---
Certificate chain
0 s:/C=HU/ST=Budapest/L=Budapest/O=Foo Ltd/OU=IT/CN=foo.hu/emailAddress=postmaster@foo.hu
i:/C=HU/ST=Budapest/L=Budapest/O=Foo Ltd/OU=IT/CN=foo.hu/emailAddress=postmaster@foo.hu
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDoDC...m2hTU=
-----END CERTIFICATE-----
subject=/C=HU/ST=Budapest/L=Budapest/O=I-Logic Ltd/OU=IT/CN=foo.hu/emailAddress=postmaster@foo.hu
issuer=/C=HU/ST=Budapest/L=Budapest/O=I-Logic Ltd/OU=IT/CN=foo.hu/emailAddress=postmaster@foo.hu
---
Acceptable client certificate CA names
/C=HU/ST=Budapest/L=Budapest/O=FooLtd/OU=IT/CN=foo.hu/emailAddress=postmaster@foo.hu
---
SSL handshake has read 1402 bytes and written 528 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.1
Cipher : AES256-SHA
Session-ID: DCD40AB312F40A5CE019DBB230A8BED550F46AA9FDB2BD18519A45CAD74EDA09
Session-ID-ctx:
Master-Key: E5FCBFBA265784736626F7E1A7BC99213B21DE1AB18CBF556C1B80F8D5AD001FC75BAE594B29135039423B65ACD6627C
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1335624972
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---

-
Könyvajánló: Java fejtörők

( Tyra3l | 2012. 04. 28., szo – 18:54 )

logok alapjan self-signed certed van.
TLS_REQCERT never
vagy beszeld ra a kliensedet, hogy fogadja el validnak a sajat CAt/certet.

Tyrael