LDAP Anfänger Fragen

archer42 · Beitrag von **archer42** » 19.06.2011 17:53:27

Hallo,

bin neu bei debian (umsteiger von gentoo) und möchte nun einen universallen debian server für meine archlinux clients bereitstellen.
Dabei möchte ich gleich auf einige neue Technologien umsteigen bsw. NFSv4 mit Kerberos/LDAP Authetifizierung.
Für dieses benötigt man OpenLDAP, welches ich nach http://wiki.debian.org/LDAP/OpenLDAPSetup eingerichtet habe.

Nun bin ich aber nicht sicher, ob ich alles richtig konfiguriert habe. Wie kann ich das nun testen?
Ich habe "gnutls-cli-debug -p 636 ldaps://ldap.local.de" benutzt um die Verschlüsselung zu testen, allerding bekomme ich nur:
Resolving 'ldaps://ldap.local.de'...
Cannot resolve ldaps://ldap.local.de: Name or service not known

Hier die Konfigurationsdateien

cat /etc/ldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE dc=local,dc=de
URI ldap://ldap.local.de ldap://ldap-master.local.de:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

TLS_REQCERT never

cat /etc/ldap/slapd.conf
index objectClass eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index default sub
index uidNumber eq
index gidNumber eq
index mail,givenName eq,subinitial
index dc eq

access to attrs=loginShell,gecos
by dn="cn=admin,dc=local,dc=de" write
by self write
by * read

access to dn.sub="ou=auth,dc=example,dc=com"
by dn="cn=Manager,ou=auth,dc=local,dc=de" write
by * read

#TLSCACertificateFile /etc/ssl/certs/whaterver_ca_you_use.pem
TLSCertificateKeyFile /etc/ssl/private/local.de.pem.pem
TLSCertificateFile /etc/ssl/certs/local.de.pem
TLSVerifyClient never

SLAPD_SERVICES ldaps:///

Die TLS Files local.de* wurden mit

certtool --generate-privkey --outfile local.de.pem
certtool --generate-self-signed --load-privkey local.de.pem --outfile local.de.pem.pem

erstellt

Hoffe, ich habe an alles gedacht.
Gruß

minimike · Beitrag von **minimike** » 19.06.2011 19:19:26

Wird ldap.local.de im Netz aufgelöst? Wenn nicht dann die IP nehmen.
Überdies Apache Directory Server bietet einen benutzerfreundlichen LDAP und Kerberos Server an

archer42 · Beitrag von **archer42** » 19.06.2011 20:14:26

Danke für die schnelle Antwort

Also ldap.local.de lässt sich nicht anpingen

ping -c 2 ldaps://ldap.local.de
ping: unknown host ldaps://ldap.local.de

Kann dies daran liegen, dass ich nur "/etc/init.d/slapd start" gestartet habe?

Noch bin ich nicht frustriert genug um auf GUI umzusteigen

Gruß

archer42 · Beitrag von **archer42** » 19.06.2011 20:22:03

Grade noch eine weitere config gefunden.

cat /etc/default/slapd
# Default location of the slapd.conf file or slapd.d cn=config directory. If
# empty, use the compiled-in default (/etc/ldap/slapd.d with a fallback to
# /etc/ldap/slapd.conf).
SLAPD_CONF=

# System account to run the slapd server under. If empty the server
# will run as root.
SLAPD_USER="openldap"

# System group to run the slapd server under. If empty the server will
# run in the primary group of its user.
SLAPD_GROUP="openldap"

# Path to the pid file of the slapd server. If not set the init.d script
# will try to figure it out from $SLAPD_CONF (/etc/ldap/slapd.conf by
# default)
SLAPD_PIDFILE=

# slapd normally serves ldap only on all TCP-ports 389. slapd can also
# service requests on TCP-port 636 (ldaps) and requests via unix
# sockets.
# Example usage:
# SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:/// ldapi:///"
SLAPD_SERVICES="ldap:/// ldapi:///"

# If SLAPD_NO_START is set, the init script will not start or restart
# slapd (but stop will still work). Uncomment this if you are
# starting slapd via some other means or if you don't want slapd normally
# started at boot.
#SLAPD_NO_START=1

# If SLAPD_SENTINEL_FILE is set to path to a file and that file exists,
# the init script will not start or restart slapd (but stop will still
# work). Use this for temporarily disabling startup of slapd (when doing
# maintenance, for example, or through a configuration management system)
# when you don't want to edit a configuration file.
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd

# For Kerberos authentication (via SASL), slapd by default uses the system
# keytab file (/etc/krb5.keytab). To use a different keytab file,
# uncomment this line and change the path.
#export KRB5_KTNAME=/etc/krb5.keytab

# Additional options to pass to slapd
SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///"

sdh82 · Beitrag von **sdh82** » 19.06.2011 22:38:22

Wenn du debianforum.de anpingen moechtest, pingst du auch
https://debianforum.de bzw. http://debianforum.de an?

archer42 · Beitrag von **archer42** » 19.06.2011 23:41:10

Stimmt, statische iP war nicht ganz richtig, der domain name geht aber immernoch nicht..
EDIT: Habe ebend mal direkt die iP vom server benutzt und tada es geht

gnutls-cli-debug -p 636 192.168.178.23
Resolving '192.168.178.23'...
Connecting to '192.168.178.23:636'...
Checking for TLS 1.1 support... no
Checking fallback from TLS 1.1 to... failed
Checking for TLS 1.0 support... no
Checking for SSL 3.0 support... no

Server does not support any of SSL 3.0, TLS 1.0 and TLS 1.1

Leider scheint die Verschlüsselung absolut gescheitert zu sein, was habe ich da verhauen?
Gruß

hec_tech · Beitrag von **hec_tech** » 20.06.2011 11:35:32

Dieses gnutls war mir schon immer ein Dorn im Auge.
Am besten funktioniert LDAP wenn man es selber kompiliert und zwar mit openssl.
LDAP ist ja kein Problem aber alles was mit Verschlüsselung zu tun hat wird bei den Debian Paketen zum Problem.
Das ist leider meine Erfahrung.

archer42 · Beitrag von **archer42** » 20.06.2011 12:57:06

Hmm, also Sqeeze soill auch mit openSSL zurecht kommen, werde dies mal probieren und mich daraufhin melden.
Den Hybridbetrieb von Binary und Source würde ich vorerst lieber vermeiden, außer das geht mit apt-get/apitude

Gruß

archer42 · Beitrag von **archer42** » 20.06.2011 13:35:03

Habe jetzt http://mathias-kettner.de/lw_ca_zertifi ... ellen.html gemacht, habe dann erstmal alle certificate nach /etc/ldap/ca kopiert und in die slapd.conf folgendes eingetragen:

cat slapd.conf
# slapd config

# Performace increasing options
index objectClass eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index default sub
index uidNumber eq
index gidNumber eq
index mail,givenName eq,subinitial
index dc eq

# access
access to attrs=loginShell,gecos
by dn="cn=admin,dc=example,dc=com" write
by self write
by * read

access to dn.sub="ou=auth,dc=local,dc=de"
by dn="cn=Manager,ou=auth,dc=local,dc=de" write
by * read

# include .schemas
include /etc/ldap/schema/samba.schema

TLSCACertificateFile /etc/ldap/ca/cacert.pem
TLSCertificateKeyFile /etc/ldap/ca/servercert.pem
TLSCertificateFile /etc/ldap/ca/serverkey.pem

Allerdings zeigt gnutls immernoch:

gnutls-cli-debug -p 636 192.168.178.24
Resolving '192.168.178.24'...
Connecting to '192.168.178.24:636'...
Checking for TLS 1.1 support... no
Checking fallback from TLS 1.1 to... failed
Checking for TLS 1.0 support... no
Checking for SSL 3.0 support... no

Server does not support any of SSL 3.0, TLS 1.0 and TLS 1.1

Gibt es noch ei9nen anderen Weg die Verbindung auf eine verschlüsselte Verbindung zu testen?

Gruß

debianforum.de

LDAP Anfänger Fragen

LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen

Re: LDAP Anfänger Fragen