Testen der TLS-Konfiguration

[pixel24]

Hallo zusammen,

ich habe auf einem Debian7-Testsystem einen LDAP eingerichtet (statisch mit slapd.conf) und für die Verwendung von TLS konfiguriert. Das hat nach meinem Verständnis auch geklappt. Wie kann ich nun testen:

a) ob TLS funktioniert
b) der Server keine unverschlüsselten Verbindungen akzeptiert.

Viele Grüße
pixel24

[minimike]

Klink dich doch mal von einem Client mit Apache Directory Studio ein. Da bekommste sogar etwas zum Debuggen raus.

[shoening]

Hi,

oder vielleicht erst mal mit dem openssl s_client Kommando.

Ciao
Stefan

[pixel24]

ok, ich habe das Apache Directory Studio in Eclipse eingebunden. Ich kann mit TLS verbinden jedoch auch ohne. Gibt es eine Möglichkeit serverseitig TLS zu erzwingen?

[pixel24]

ich habe den Parameter gefunden:

security tls=1

in der slapd.conf und es wir TLS erzwungen. Versuche ich ohne TLS erhalte ich im Log die Meldung dass TLS required ist. Also soweit schon einmal prima.

Datei /etc/ldap/slapd.conf

Code: Alles auswählen

security tls=1
TLSCACertificateFile /etc/ssl/CA/ServerCA/certs/ServerCA.cacert.pem
TLSCertificateFile /etc/ssl/CA/ServerCA/certs/tux.gehr.lan.cert.pem
TLSCertificateKeyFile /etc/ssl/CA/ServerCA/private/ldap.gehr.lan.key.pem
TLSVerifyClient allow

Allerdings liefert dann 'getent passwd" nicht mehr (wie vorher noch) die LDAP-User. Hier scheint noch etwas mit meiner LDAP-Client-Konfiguration nicht ganz zu passen.

Datei /etc/ldap/ldap.conf

Code: Alles auswählen

BASE dc=gehr,dc=lan
ldap_version 3
ssl start_tls
URI ldap://tux.gehr.lan/
TLS_CACERT /etc/ssl/CA/ServerCA/certs/ServerCA.cacert.pem
TLS_REQCERT demand

der LDAP-Client (lokal auf dem LDAP-Server) schein nicht TLS zu nutzen. Wenn ich während des 'getent passwd" ins Logfile schaue sehe ich dort:

Code: Alles auswählen

TLS confidentiality required