Verschluesselte LDAP-Authentifizierung geht trotz abgelaufener Zertifikate

13/02/2008 - 15:16 von Gordon Grubert | Report spam
Hallo,

ich habe festgestellt, dass die SSL-basierte
LDAP-Authentifizierung trotz abgelaufener Zertifikate funktioniert.

</etc/ldap/ldap.conf>
BASE dc=mydomain
URI ldaps://myserver
TLS_CACERT /etc/MyCerts/cacert.pem
TLS_REQCERT demand
</ /etc/ldap/ldap.conf>

Ein "ldapsearch ..." bricht erwartungsgemaess mit
ldap_bind: Can't contact LDAP server (-1)
additional info: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


Aber trotz tls_cacertfile und tls_checkpeer ist ein Einloggen am
System moeglich. Dies sollte doch eigentlich verhindert werden,
oder?

</etc/libnss-ldap.conf>
host myserver
base dc=mydomain
uri ldaps://myserver
tls_cacertfile /etc/MyCerts/cacert.pem
tls_checkpeer yes
ldap_version 3
timelimit 30
bind_timelimit 30
pam_filter objectclass=posixAccount
pam_password md5
nss_base_passwd ou=People,dc=mydomain
nss_base_group ou=Groups,dc=mydomain
</ /etc/libnss-ldap.conf>

</etc/pam_ldap.conf>
host myserver
base dc=mydomain
uri ldaps://myserver
tls_cacertfile /etc/MyCerts/cacert.pem
tls_checkpeer yes
ldap_version 3
timelimit 30
bind_timelimit 30
pam_filter objectclass=posixAccount
pam_password md5
</ /etc/pam_ldap.conf>

Schoene Gruesse
Gordon
 

Lesen sie die antworten

#1 Michael Ströder
16/02/2008 - 13:41 | Warnen spam
Gordon Grubert wrote:

ich habe festgestellt, dass die SSL-basierte
LDAP-Authentifizierung trotz abgelaufener Zertifikate funktioniert.

</etc/ldap/ldap.conf>
BASE dc=mydomain
URI ldaps://myserver
TLS_CACERT /etc/MyCerts/cacert.pem
TLS_REQCERT demand
</ /etc/ldap/ldap.conf>

Ein "ldapsearch ..." bricht erwartungsgemaess mit
ldap_bind: Can't contact LDAP server (-1)
additional info: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed



Das sieht ja erst mal gut aus.

</etc/libnss-ldap.conf>
[..]
</etc/pam_ldap.conf>



Es ist ein Graus mit den Client-Konfigurationsdateien. Vielleicht
solltest Du untersuchen, welche von pam_ldap wirklich benutzt wird.
Und ich würde den Test mit ldapsearch mit den jeweiligen
Client-Konfigurationsdateien wiederholen, indem man die
Umgebungsvariable LDAPCONF setzt. Siehe auch man 5 ldap.conf.

Ciao, Michael.

Ähnliche fragen