NSS mit LDAP Umstellung auf SSL

05/05/2009 - 14:54 von Philipp Kraus | Report spam
Hallo,

ich versuche grade meine LDAP Verbindung via SSL zu verschlüsseln (eigene PKI).
Das ganze auf Gentoo. NSS und LDAP Anbindung funktionieren im
unverschlüsselten Zustand
ohne Probleme.
Ich habe die /etc/openldap/ldap.conf wie folgt:

-
BASE dc=home
HOST 192.168.94.1
PORT 636
TLS_REQCERT allow
TLS_CACERT /etc/ssl/certs/flashpixx-cacert.pem
-

Ein ldapsearch -x -v -W -D "meine Bind DN" liefert auch die Daten aus dem LDAP.
Jetzt wollte ich die /etc/ldap.conf für den NSS Zugang anpassen:

-
# Your LDAP server. Must be resolvable without using LDAP.
host 192.168.94.1

# The distinguished name of the search base.
base "dc=home"
suffix "dc=home"

# Another way to specify your LDAP server is to provide an
# uri with the server name.
uri ldaps://192.168.94.1:636

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

# The port.
# Optional: default is 389.
port 636

# The search scope.
scope one

# Search timelimit
timelimit 30

# Reconnect policy:
bind_policy soft

# Filter to AND with uid=%s
#pam_filter objectclass=account
pam_filter objectclass=posicAccount

# The user ID attribute (defaults to uid)
pam_login_attribute uid

# Group member attribute
pam_member_attribute memberuid

# HEADS UP: the pam_crypt, pam_nds_passwd,
pam_password exop

# RFC2307bis naming contexts
nss_base_passwd ou=user,dc=home?one
nss_base_shadow ou=user,dc=home?one
nss_base_group ou=group,dc=home?one

# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
ssl start_tls
ssl on

# OpenLDAP SSL options
tls_checkpeer yes

# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
tls_cacertfile /etc/ssl/certs/flashpixx-cacert.pem
tls_cacertdir /etc/ssl/certs
-

Ich habe nur Host, Port und SSL (Zertifikate) eingetragen. Leider
klappt dann der Zugriff nicht mehr und wird mit der Meldung quitiert:

-
nss_ldap: failed to bind to LDAP server ldaps://192.168.94.1:636: Can't
contact LDAP server
nss_ldap: could not search LDAP server - Server is unavailable
-

Kommentiere ich das "ldaps" aus, dann wird immer versucht nach
"ldap://192.168.94.1:636" zu verbinden. Die / Der Client(s) muss selbst
kein Zertifikat vorweisen, um sich zu authentifizieren.
Das ganze soll nur auf ein Server Zertifikat basieren, jeder Client
enthàlt dann das CA Zertifikat.

Was habe ich übersehen?
Danke für die Hilfe

Phil
 

Lesen sie die antworten

#1 Michael Ströder
05/05/2009 - 15:08 | Warnen spam
Philipp Kraus wrote:
Ich habe die /etc/openldap/ldap.conf wie folgt:

-
BASE dc=home
HOST 192.168.94.1
PORT 636
TLS_REQCERT allow
TLS_CACERT /etc/ssl/certs/flashpixx-cacert.pem
-

Ein ldapsearch -x -v -W -D "meine Bind DN" liefert auch die Daten aus
dem LDAP.
Jetzt wollte ich die /etc/ldap.conf für den NSS Zugang anpassen:

-
[..]
# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
tls_cacertfile /etc/ssl/certs/flashpixx-cacert.pem
tls_cacertdir /etc/ssl/certs
-



Warum verwendest Du in dieser ldap.conf nicht auch die
Konfigurationsdirektive TLS_CACERT? Am besten zusammen mit
'TLS_REQCERT hard'.

Ciao, Michael.

Ähnliche fragen