ldap + (gnu)tls @ lenny wo das cacert-file angeben ?

[lisan]

Hai!

Seit ich auf lenny umgestellt habe funktioniert die validierung der der certs gegen das cert der ca nicht mehr.

Folgendes funktioniert :

wks-arvid:~# openssl s_client -host ldap.somewhere.de -port 636 |openssl verify
depth=1 /O=***/OU=Organizational CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
stdin: OK

Openssl kennt offenbar das ca-cert-file.

wks-arvid:~# LDAPTLS_CACERT=/etc/ssl/certs/ca-certificates.crt ldapsearch -x -v -H ldaps://ldapsource.somewhere.de "cn=me" 1>/dev/null
ldap_initialize( ldaps://ldapsource.somwhere.de:636/??base )
filter: cn=me
requesting: All userApplication attributes

Aber

wks-arvid:~# ldapsearch -x -v -H ldaps://dapsource.somewhere.de "cn=me" 1>/dev/null
ldap_initialize( ldaps://dapsource.somewhere.de:636/??base )
...
TLS: peer cert untrusted or revoked (0x42)
...
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Obwohl das Cacert-file in ldap.conf definiert ist !

Code: Alles auswählen

wks-arvid:~# grep -v -E '^$|^#' /etc/ldap.conf
base o=***
uri ldaps://ldap.somewhere.de
ldap_version 3
ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
tls_cacertdir /etc/ssl/certs
tls_reqcert demand

Btw. gnutls ignoriert tls_cacertdir (TLS: warning: cacertdir not implemented for gnutls).

wks-arvid:~# gnutls-cli --print-cert --port 636 --x509cafile /etc/ssl/certs/ca-certificates.crt dapsource.somewhere.de
...
- Peer's certificate is trusted
- Version: TLS1.0
- Key Exchange: RSA
- Cipher: AES-128-CBC
- MAC: SHA1
- Compression: NULL
- Handshake was completed
- Simple Client Mode:
...

Was ich feststelle ist, dass ich nirgends das Cacert fest konfigurieren kann. Auf der Kommandozeile kann ich noch mit optionen und variablen schummeln allerdings funktioniert so nsswitch nicht.

Das beglaubigen des zertifikates des ldap funktioniert so nur auf der kommandozeile und saemtliche auth. gegen den ldap schlagen fehl.

Achja und um mir mal luft zu machen - bei jedem pups in debian krachts in auth. gegen einen ldap. Bei mir zu mindest - echt aergerlich.

[lisan]

Solved

[Dellerium]

Wäre schön gewesen, wenn du auch geschrieben hättest, WIE du es gelöst hast Ich habe zur Zeit das gleiche Problem. Auf sämtlichen CentOS Boxen klappt die LDAP Authentifikation problemlos, unter Debian verweigert er das Zertifikat...

[Cologne4711]

Hallo,

auf das Problem bin ich auch schon gestoßen.

In Lenny akzeptiert die libgnutls26 keine Zertifikate mehr, die einen MD5 Hash verwenden.
Ich habe dementsprechend die Zertifikate neu erstell und mich für sha256 entschieden.

Der Eintrag kann in der openssl.conf angepasst werden.
default_md = sha256


Hier noch ein entsprechender Link
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514578

MfG

[MixeryMan]

Meine Lösung war:

Code: Alles auswählen

vi /etc/ldap/ldap.conf
[...]
TLS_REQCERT never

[laotse]

Meine Lösung war:

Code: Alles auswählen

vi /etc/ldap/ldap.conf
[...]
TLS_REQCERT never

Warum dann überhaupt TLS? Nein, das update von gnutls bedeutet leider, dass die PKI neu ausgerollt werden muss.