LDAP/SSL und GNUTLS

[Oliver87]

Hi Community,

Ich habe wohl ein kleines Problem mit OpenLDAP. Ich habe einen Server von Lenny auf Sqeeze aktualisiert und damit auch seine Dienste.

Nachdem Update von slapd bekommte ich beim starten folgenden Fehler

Code: Alles auswählen

main: TLS init def ctx failed: -207

Habe aber meines erachtens die Zertifikate ordnungsgemäß eingebunden.

slapd.conf

Code: Alles auswählen

TLSCertificateFile      /etc/ldap/sasl2/server.crt
TLSCACertificateFile    /etc/ldap/sasl2/ca.crt
TLSCertificateKeyFile   /etc/ldap/sasl2/server.key

und die Rechte sollten so auch stimmen:

Code: Alles auswählen

root@cr0:/etc/ldap/sasl2# ls -lisa
insgesamt 24
73806 4 drwxr-xr-x 3 root     root 4096  3. Nov 15:39 .
73083 4 drwxr-xr-x 5 root     root 4096  3. Nov 15:38 ..
73942 4 -rw-r--r-- 1 openldap root 2666  3. Nov 15:10 ca.crt
73937 4 -rw-r--r-- 1 openldap root 1701  3. Nov 15:10 server.crt
73940 4 -rw-r--r-- 1 openldap root 1704  3. Nov 15:10 server.key
73647 4 drwxr-xr-x 6 root     root 4096  3. Nov 15:10 .svn

Ich habe die Zertifikate nicht selbst erstellt, sie sind von einer Zertifizierungsstelle
Weiß vielleicht einer Rat?


Thx Oliver

[raffis]

73942 4 -rw-r--r-- 1 openldap root 2666 3. Nov 15:10 ca.crt
73937 4 -rw-r--r-- 1 openldap root 1701 3. Nov 15:10 server.crt
73940 4 -rw-r--r-- 1 openldap root 1704 3. Nov 15:10 server.key
73647 4 drwxr-xr-x 6 root root 4096 3. Nov 15:10 .svn[/code]

Also wenn ich dich wäre würde ich schleunigst und als erstes mal die Berechtigungen für die Zertifikate anpassen. 0400 für alle Zertifikate/Keys und 0500 für das Directory in welchem die Zertifikate liegen.

[Oliver87]

Die sind schon angepasst, sie waren noch vom einrichten auf other

[dank]

Hi,

ich habe letzte Woche erst wieder einen neuen LDAP-Server mit TLS aufgesetzt. War auch nicht trivial. Hier mal mein Weg:

Die Version in Squeeze ist gegen gnutls gelinkt. Deswegen musste ich das Zertifikat neu erstellen

Code: Alles auswählen

apt-get install gnutls-bin
certtool --generate-privkey --outfile /etc/ssl/private/ca-key.pem
certtool --generate-self-signed --load-privkey /etc/ssl/private/ca-key.pem --outfile /etc/ssl/certs/ca-cert.pem
usermod -a -G ssl-cert openldap
chmod g+r /etc/ssl/private/ca-key.pem
chgrp ssl-cert /etc/ssl/private/ca-key.pem

Die Zugriffsrechte sehen dann wie folgt aus:

Code: Alles auswählen

-rw-r----- 1 root ssl-cert 1679 31. Okt 20:45 /etc/ssl/private/ca-key.pem
-rw-r--r-- 1 root root 1387 31. Okt 20:48 /etc/ssl/certs/ca-cert.pem

Dann der Config hinzufügen. Version 2.4 speichert die Config ebenfalls im Directory. Hinzufügen bedeutet dann eine Datei ldap-ssl.ldif mir folgendem Inhalt anlegen:

Code: Alles auswählen

dn: cn=config
add: olcTLSCertificateFile 
olcTLSCertificateFile: /etc/ssl/certs/ca-cert.pem

dn: cn=config
add: olcTLSCertificateKeyFile 
olcTLSCertificateKeyFile: /etc/ssl/private/ca-key.pem

dn: cn=config
add: olcTLSVerifyClient 
olcTLSVerifyClient: never

Und das ganze via

Code: Alles auswählen

ldapmodify -Y EXTERNAL -H ldapi:/// -f ldap-ssl.ldif

laden. Manuelles Anpassen der Dateien zerstört die Config!

Gruß
Dank

[Moppedboy]

Ich musste hier auch noch die Rechte des Verzeichnisses /etc/ssl/private/ entsprechend setzen, also könnte man das dann auch in einem Aufwasch machen:

Code: Alles auswählen

chgrp -R ssl-cert /etc/ssl/private
chmod -R g+r /etc/ssl/private