Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenLDAP + TLS
Simcemilia
15.12.04, 09:29
Moin Moin
Ich bekomme es einfach nicht hin mich mit meinen Linux Client an meinen LDAP Server anzumelden.
ein ldapsearch -x uid=user001 gibt mir die gewünschten Informationen zurück.
Aber es tauchen folgende Fehlermeldungen auf:
TLS trace: SSL_accept:SSLv3 flush data
tls_read: want=5 error=Resource temporarily unavailable
TLS trace: SSL_accept:error in SSLv3 read client certificate A
TLS trace: SSL_accept:error in SSLv3 read client certificate A
tls_read: want=5 error=Resource temporarily unavailable
ldap_read: want=8 error=Resource temporarily unavailable
ber_get_next on fd 12 failed errno=11 (Resource temporarily unavailable)
Kann mir vielleicht jemand da irgendwie weiterhelfen?
MFG
Simcemilia
Obwohl der Thread schon ein bisschen älter ist, mache ich ihn einfach mal neu auf.
Ich hab ein funktionierenden LDAP-Server den ich ohne Probleme unverschlüsselt abfragen kann.
>>ldapsearch -W -D "cn=Manager,dc=idealx,dc=org" -x ###->geht
Jetzt will ich das auf TLS umstellen und habe alle notwendigenm Konfigurationen eingestellt inklusive CA und Server/Client Zertifikate. Das die Zertifikate stimmen habe ich mit >openssl verify -CAfile< überprüft.
Das die DNS Auflösung mit den Zertifikaten übereinstimmt habe ich über die /etc/hosts angepasst. (ist ja oft der Fehler)
Wen ich nun ldapsearch -W -D "cn=Manager,dc=idealx,dc=org" -x -ZZ den Server abfragen möchte, dann bekomme ich folgende Fehlermeldung:
ldap_start_tls: Connect error (-11)
additional info: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Komme im Moment nicht weiter so. Kann jemand was dazu sagen?
Conf's: (nur TLS-Parameter)
slapd.conf(Server)
TLSCACertificateFile /usr/share/ssl/cacert.pem
TLSCertificateFile /usr/share/ssl/test_ldap_rne_ssl.pem
TLSCertificateKeyFile /usr/share/ssl/ldapsrv.key
TLSCiperSuite HIGH:MEDIUM:+SSLv3
#TLSCipherSuite :TLS1
TLSVerifyClient demand
ldap.conf(Client)
# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is "no"
#tls_checkpeer yes
TLS_CHECKPEER yes
TLS_CACERT /usr/share/ssl/cacert.pem
TLS_KEY /usr/share/ssl/client1.key
TLS_CERT /usr/share/ssl/test_client1_rne_ssl.pem
ssl start_tls
# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
tls_cacertfile /usr/share/ssl/cacert.cer
tls_cacertdir /usr/share/ssl/
# SSL cipher suite
# See man ciphers for syntax
tls_ciphers SSLv3
Ich komme immer noch nicht weiter. Hat keine eine Idee?
Vom Client zum Server:
openssl s_client -connect c974fc4-2:389 -CAfile /usr/share/ssl/cacert.pem -cert /usr/share/ssl/test_client1_rne_ssl.pem -key /usr/share/ssl/client1.key
ergibt:
CONNECTED(00000003)
7551:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:226:
Vom Server zum Server:
openssl s_server -CAfile /usr/share/ssl/cacert.pem -cert /usr/share/ssl/test_ldap_rne_ssl.pem -key /usr/share/ssl/ldapsrv.key
ergibt:
Using default temp DH parameters
ACCEPT
gibt es noch irgendwelches Testing, welches ich durchführen kann?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.