LDAP mit TLS Anbindung

31/05/2010 - 23:01 von Philipp Kraus | Report spam
Hallo,

ich habe auf einem Gentoo einen Samba Server (3.5.3) laufen. In der
smb.conf ist folgendes für die LDAP Anbindung eingetragen:

encrypt passwords = yes
passdb backend = ldapsam:ldaps://192.168.x.x
ldap ssl = start tls
ldap suffix = dc=server
ldap admin dn = uid=root,dc=server
ldap user suffix = ou=user
ldap group suffix = ou=group
ldap machine suffix = ou=host
ldap passwd sync = Yes
ldap delete dn = no

Der Samba soll gegen einen OpenLDAP authentifizieren. Auf dem gleichen
Rechner, auf dem der Samba Dienst laufen soll, ist LDAP mit PAM und NSS
eingerichtet und ein ldapsearch -Z liefert auch alle Daten aus dem
LDAP. Der LDAP Server hört nur auf dem Port 636. Samba meldet bei einem
smbpasswd -a <user> immer
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!

Das Passwort für den LDAP Admin habe ich mit smbpasswd -w in die secret
eingetragen. Ich bin etwas verwundert, da ein "getent passwd / groups"
alle Daten korrekt liefert, nur Samba will keine Verbindung aufbauen.
Zertifikate sind alle korrekt hinterlegt
Was habe ich übersehen bzw. wo ist mein Fehler?

Danke für die Hilfe

Phil
 

Lesen sie die antworten

#1 Sven Hartge
01/06/2010 - 00:45 | Warnen spam
Philipp Kraus wrote:
Hallo,

ich habe auf einem Gentoo einen Samba Server (3.5.3) laufen. In der
smb.conf ist folgendes für die LDAP Anbindung eingetragen:

encrypt passwords = yes
passdb backend = ldapsam:ldaps://192.168.x.x
ldap ssl = start tls
ldap suffix = dc=server
ldap admin dn = uid=root,dc=server
ldap user suffix = ou=user
ldap group suffix = ou=group
ldap machine suffix = ou=host
ldap passwd sync = Yes
ldap delete dn = no

Der Samba soll gegen einen OpenLDAP authentifizieren. Auf dem gleichen
Rechner, auf dem der Samba Dienst laufen soll, ist LDAP mit PAM und NSS
eingerichtet und ein ldapsearch -Z liefert auch alle Daten aus dem
LDAP. Der LDAP Server hört nur auf dem Port 636. Samba meldet bei einem
smbpasswd -a <user> immer
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!



Ich glaube fast, der will STARTTLS sprechen (also zuerst Klartext und
dann via entsprechendem Befehl die Verbindung auf TLS "upgraden"),
wàhrend du direkt SSL auf 636 sprechen willst.

Versuche mal "ldapsam:ldaps://ad.dre.ss.e:636" zu setzen, also den Port
explizit anzugeben und "ldap ssl" wegzulassen, denn aus der man-page:

,-
| LDAP connections should be secured where possible. This may be done
| setting *either* this parameter to Start_tls or by specifying ldaps:// in
| the URL argument of passdb backend.
`-

Beachte das "either".

Außerdem steht in der man-page, dass Samba per default den 389 nimmt,
andere Ports müssen angegeben werden.

Und dann kannst du mal "ldap debug level" auf 65535 setzen.

Zusàtzlich würde ich mit dem wireshark/tshark auf die Verbindung
lauschen und schauen, was er treibt.

S°!

Sig lost. Core dumped.

Ähnliche fragen