[gelöst] LDAP-Server mit TLS - startet nicht :(

[McAldo]

Hallo,

mein LDAP-Server möchte nicht mit TLS starten. Ich habe mal volle Debug-Ausgabe aktiviert und so wie es aussieht, werde die Zertifikatsdateien eingebunden. Mit der Meldung am Ende, die den Abbruch bezeichnet kann ich leider bis jetzt nichts anfangen.

Hier das Log: http://nopaste.debianforum.de/7407

Das CA-cert und das Serverzertifikat mit Key habe ich mit TinyCA erstellt.

Dankbar für jeden sachdienlichen Hinweis.

McAldo

[habakug]

Hallo!

Ich bin mit dieser [1] Anleitung gut gefahren. Dich interessiert sicher Kapitel 7.0 "Using TLS".

Gruß, habakug

[1] http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html

[mauser]

Hi,

es kann an den Rechten liegen, die die Zertifikate haben. Wenn du diese nur für LDAP brauchst, stell sicher das sie auch nur der User unter dem der slapd läuft lesen kann (z.b. der User ldap).
Gruss,
mauser

[Cologne4711]

Hallo,

ich habe schon mal ein kleines Howto hier im Forum gepostet
vielleicht kannst Du ja damit etwas anfangen

http://www.debianforum.de/forum/viewtop ... t=ldap+ssl

MfG

[McAldo]

Hallo!

Ich bin mit dieser [1] Anleitung gut gefahren. Dich interessiert sicher Kapitel 7.0 "Using TLS".

Gruß, habakug

[1] http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html

Habe mal ein Zertifikat nach der Anleitung erstellt, aber auch damit startet der LDAP-Server nicht. Es kommt immer der Fehler am Ende:

Code: Alles auswählen

Feb  1 09:36:24 ldapserv slapd[5176]: main: TLS init def ctx failed: -1
Feb  1 09:36:24 ldapserv slapd[5176]: slapd destroy: freeing system resources.
Feb  1 09:36:24 ldapserv slapd[5176]: slapd stopped.
Feb  1 09:36:24 ldapserv slapd[5176]: connections_destroy: nothing to destroy.

Ich habe mir mal die Debian-Sourcen vom slapd geladen, da ist TLS aktiviert.

McAldo

[McAldo]

Hi,

es kann an den Rechten liegen, die die Zertifikate haben. Wenn du diese nur für LDAP brauchst, stell sicher das sie auch nur der User unter dem der slapd läuft lesen kann (z.b. der User ldap).
Gruss,
mauser

Der User openldap, mit dessen Rechten der slapd läuft hat Zugriff auf das Verzeichnis mit dem Zertifikat und auch darauf. Das Zertifikat wird ja auch eingelesen, wenn ich diese Logmeldung richtig interpretiere:

Code: Alles auswählen

Jan 31 16:38:12 ldapserv slapd[4423]: line 67 (TLSCertificateFile /etc/ldap/certs/ldap.homenet.intern-cert.pem)
Jan 31 16:38:12 ldapserv slapd[4423]: line 68 (TLSCertificateKeyFile /etc/ldap/certs/ldap.homenet.intern-key.pem)
Jan 31 16:38:12 ldapserv slapd[4423]: line 69 (TLSCACertificateFile /etc/ssl/certs/homenet.intern-cacert.pem)
Jan 31 16:38:12 ldapserv slapd[4423]: line 70 (TLSCipherSuite HIGH:MEDIUM:+SSLv2:+SSLv3)

Oder heißt das nur, es wurden die Zeilen aus der Konfigurationsdatei gelesen?

Hm..., habe mal alle Rechte auf das Zertifikatsverzeichnis entzogen, die Zeilen lesen nur die Conf ein. Es kommt aber die gleiche Meldung am Ende. Habe dann mal volle Rechte für alle auf das Verzeichnis und die Dateien gegeben, gleiche Meldung. Rechteproblem dürfte es also nicht sein.

McAldo

[McAldo]

Hallo,

ich habe schon mal ein kleines Howto hier im Forum gepostet
vielleicht kannst Du ja damit etwas anfangen

http://www.debianforum.de/forum/viewtop ... t=ldap+ssl

MfG

Ich hab mir das mal durchgelesen und auch versucht umzusetzen. Aber der slapd beendet sich immer mit den schon genannten Zeilen. Ich weiß im Moment nicht weiter.

Ohne dieses TLS-Zeugs startet der LDAP-Server.

McAldo

[McAldo]

Und hier nun die Lösung:

Einstellung habe ich nun von hier übernommen: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=381788

Ich habe also den slapd als root gestartet und da klappte es.

Beim durchgehen der Anleitung ist mir aufgefallen, dass das CAcertificate in /etc/ssl/certs/ die falschen Rechte (0600) hatte. Das nun mit 0444 ausgestattet und der slapd startet durch, als Benutzer/Gruppe openldap.

McAldo