libnss-ldap.conf ssl segmentation fault

[DiscoBoy]

Ich habe meine Etch Rechner auf Lenny upgedatet und auch schon einge Probleme in Zusammenhang mit LDAP, PAM und SSL gelöst. Der Ldap Server läuft also wieder, pam.d kann verschlüsselt auf den LDAP Server zugreifen. Ich habe hierzu in der pam_ldap.conf "ssl start_tls" gesetzt.

Das gleiche funktioniert aber nicht mit der libnss-ldap.conf! Ich habe inzwischen alle Möglichkeiten durchprobiert:

uri ldaps://127.0.0.1
port 636

uri ldaps://127.0.0.1:636

mit "ssl on" und "ssl start_tls"

Es klappt einfach nicht (vollständig)! Bei einem Aufruf von getent passwd bekomme ich auch mit einer SSl-Verbindung die User aus dem LDAP angezeigt. Bei getent group kommt hingegen ein Speicherzugriffsfehler! Nach einem Neustart kann ich mich nicht mehr einloggen, da es zu Fehlern in der libcrypt.so kommt (logon general protection ip: error in libcrypt.so ...)

>>> slap_listener(ldaps:///)
May 8 01:52:27 server slapd[11445]: connection_get(28): got connid=120
May 8 01:52:27 server slapd[11445]: connection_read(28): checking for input on id=120
May 8 01:52:27 server slapd[11445]: connection_get(28): got connid=120
May 8 01:52:27 server slapd[11445]: connection_read(28): checking for input on id=120
May 8 01:52:27 server kernel: [26836.957215] getent[11961] general protection ip:b79a74bc sp:bfe4ad1c error:0 in libgcrypt.so.11.4.4[b7985000+66000]
May 8 01:52:27 server slapd[11445]: connection_read(28): TLS accept failure error=-1 id=120, closing

Ich habe inzwischen auch einige Posts gefunden die darauf hinweisen dass es da einen Bug gab, dieser aber gefixt wurde:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=462366
http://mickdakota.com/archives/150/comment-page-1

Meine Frage daher: Hat von euch einer ähnliche Probleme und wie habt ihr das gelöst bekommen?

[DiscoBoy]

Keine ne Ahnung? Bin ich der einzige der seinen LDAP Server über ne sichere Verbindung benutzt?

Ich habe jetzt mal folgendes probiert:

gnutls-serv --x509keyfile /etc/ssl/keys/ldap.key --x509certfile /etc/ssl/certs/ldap.crt
und
gnutls-cli-debug localhost -p 5556

Folgendes kommt dabei heraus:

Code: Alles auswählen

Resolving 'localhost'...
Connecting to '127.0.0.1:5556'...
Checking for TLS 1.1 support... yes
Checking fallback from TLS 1.1 to... N/A
Checking for TLS 1.0 support... yes
Checking for SSL 3.0 support... yes
Checking for HTTPS server name... not checked
Checking for version rollback bug in RSA PMS... no
Checking for version rollback bug in Client Hello... no
Checking whether we need to disable TLS 1.0... N/A
Checking whether the server ignores the RSA PMS version... no
Checking whether the server can accept Hello Extensions... yes
Checking whether the server can accept cipher suites not in SSL 3.0 spec... yes
Checking whether the server can accept a bogus TLS record version in the client                                                                                                                                 hello... no
Checking for certificate information... N/A
Checking for trusted CAs... N/A
Checking whether the server understands TLS closure alerts... yes
Checking whether the server supports session resumption... yes
Checking for export-grade ciphersuite support... no
Checking RSA-export ciphersuite info... N/A
Checking for anonymous authentication support... no
Checking anonymous Diffie Hellman group info... N/A
Checking for ephemeral Diffie Hellman support... yes
Checking ephemeral Diffie Hellman group info... N/A
Checking for AES cipher support (TLS extension)... yes
Checking for CAMELLIA cipher support (TLS extension)... yes
Checking for 3DES cipher support... yes
Checking for ARCFOUR 128 cipher support... yes
Checking for ARCFOUR 40 cipher support... no
Checking for MD5 MAC support... yes
Checking for SHA1 MAC support... yes
Checking for ZLIB compression support (TLS extension)... no
Checking for LZO compression support (GnuTLS extension)... no
Checking for max record size (TLS extension)... yes
Checking for SRP authentication support (TLS extension)... yes
Checking for OpenPGP authentication support (TLS extension)... no

An SSL liegt es wohl nicht!?

[DiscoBoy]

Kann es am erstellten SSL Zertifikat liegen? Einmal geht es ja (getent passwd), einmal wieder nicht (getent group). oder evtl. an den LDAP Berechtigungen? Da hat sich aber nichts geändert bei mir, nur an LDAP 2.4 soweit ich weiss. Wenn ich mit dem selben(NSS)-user aber über SSL mit nem anderen Client an den LDAP Server verbind gibt es keine Probleme die "groups" zu sehen.