LDAP Authentication Problem
- From: "Christoph Buchli" <Christoph.Buchli@xxxxxxxxx>
- Date: Wed, 14 Mar 2007 11:42:33 +0100
Hallo zusammen
Ich habe ein SSL/TLS Problem mit meinem SLES9.
Ziel: Auf dem SLES9 ist ein eDirectory eingerichtet. Ich möchte nun
via LDAP die Benutzerauthentifizierung auf meinen Linux-Clients lösen.
Ein SLES10 kann sich authentifizieren (am SLES9), allerdings wenn in
/etc/ldap.conf die Option 'debug 9' eingestellt wird, erhalte ich
unter anderem folgende Meldung im Log [1]. Trotz dieser Meldung
funktioniert die Authentifizierung aber.
So weit so gut.
Problem: Will ich nun mit einem Debian- Client authentifizieren
(Fedora funktioniert übrigens auch nicht..), erhalte ich mit 'debug 9'
folgende Nachricht im Log [2]. Die Meldung von "su user" ergibt
lediglich "Unbekannte ID: user".
Mit einem LDAP- Browser kann ich verbinden, allerdings nur
unverschlüsselt und anonym. Sobald ich versuche, ldaps und Port 636
einzustellen, funktioniert nichts mehr ("Authentication Error").
Die Authentifizierung funktioniert allerdings nicht, wenn ich den
Parameter 'ssl start_tls' entferne, antwortet der Server kühl:
"LDAPMessage bindResponse(1) confidentialityRequired"
(ermittelt mit Wireshark)
Mit dem SSL- Client GnuTLS erhalte ich eine Meldung, die zwar keine
Fehlermeldung ist, aber bei der mir das Verständnis fehlt. Vielleicht
bringt sie ja jemandem von euch etwas [3].
Weiter angehängt sind die /etc/ldap.conf vom SLES10 (in welcher die
Parameter exakt die selben sind, wie auf der Debian- Maschine
[/etc/libnss-ldap.conf -> /etc/ldap/ldap.conf]) [4], sowie die
ebenfalls identischen /etc/nsswitch.conf [5].
Ich hoffe, dass ich nicht allzu viel Verwirrung stifte und dass
irgend jemand den besseren Durchblick hat.
Meine Frage ist eigentlich hauptsächlich, wie ich das Problem mit dem
Zertifikat gelöst bekomme: Ich muss irgendwie vom Server ein gültiges
Zertifikat bekommen. Wo/wie kann ich das auf einem SLES9 erzeugen und
anwenden?
Herzlichen Dank für eure Hilfe
Gruss,
christoph - rookie - buchli ;)
[1]
sles9:~ # cat /var/log/ldap/ldap.8149 | grep -i tls
TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 1, err: 19, subject:
/OU=Organizational CA/O=TESTUMGEBUNG, issuer: /OU=Organizational
CA/O=TESTUMGEBUNG
TLS certificate verification: Error, self signed certificate in
certificate chain
TLS certificate verification: depth: 1, err: 19, subject:
/OU=Organizational CA/O=TESTUMGEBUNG, issuer: /OU=Organizational
CA/O=TESTUMGEBUNG
TLS certificate verification: depth: 0, err: 19, subject:
/CN=sles9.net.domain.com/O=TESTUMGEBUNG, issuer: /OU=Organizational
CA/O=TESTUMGEBUNG
TLS trace: SSL_connect:SSLv3 read server certificate A
TLS trace: SSL_connect:SSLv3 read server done A
TLS trace: SSL_connect:SSLv3 write client key exchange A
TLS trace: SSL_connect:SSLv3 write change cipher spec A
TLS trace: SSL_connect:SSLv3 write finished A
TLS trace: SSL_connect:SSLv3 flush data
TLS trace: SSL_connect:SSLv3 read finished A
TLS trace: SSL3 alert write:warning:bad certificate
TLS: unable to get peer certificate.
(...)
[2]
TLS certificate verification: depth: 0, err: 66, subject:
CN=sles.net.domain.com,O=TESTUMGEBUNG, issuer: OU=Organizational
CA,O=TESTUMGEBUNG
TLS certificate verification: Error, Unknown error
TLS: can't connect.
ldap_unbind
[3]
debian:~ # gnutls-cli -p 636 x.y.z.109
Resolving '10.0.21.109'...
Connecting to 'x.y.z.109:636'...
- Certificate type: X.509
- Got a certificate list of 3 certificates.
- Certificate[0] info:
# The hostname in the certificate does NOT match 'x.y.z.109'.
# valid since: Sat Mar 3 22:23:28 CET 2007
# expires at: Wed Mar 4 22:23:28 CET 2009
# fingerprint: 1E:CA:79:91:58:86:7D:5B:FB:12:33:78:3B:60:46:8F
# Subject's DN: CN=sles9.net.domain.com,O=TESTUMGEBUNG
# Issuer's DN: OU=Organizational CA,O=TESTUMGEBUNG
- Certificate[1] info:
# valid since: Sat Mar 3 22:23:17 CET 2007
# expires at: Thu Mar 2 22:23:17 CET 2017
# fingerprint: 6F:81:8C:A5:25:AB:68:7D:5A:95:B8:D3:A0:BE:35:6B
# Subject's DN: OU=Organizational CA,O=TESTUMGEBUNG
# Issuer's DN: OU=Organizational CA,O=TESTUMGEBUNG
- Certificate[2] info:
# valid since: Sat Mar 3 22:23:17 CET 2007
# expires at: Thu Mar 2 22:23:17 CET 2017
# fingerprint: 6F:81:8C:A5:25:AB:68:7D:5A:95:B8:D3:A0:BE:35:6B
# Subject's DN: OU=Organizational CA,O=TESTUMGEBUNG
# Issuer's DN: OU=Organizational CA,O=TESTUMGEBUNG
- Peer's certificate issuer is unknown
- Peer's certificate is NOT trusted
- Version: TLS 1.0
- Key Exchange: RSA
- Cipher: AES 256 CBC
- MAC: SHA
- Compression: NULL
- Handshake was completed
- Simple Client Mode:
[4]
debian:~ # cat /etc/libnss-ldap.conf | grep -v ^\#
host x.y.z.109
base o=cag
ldap_version 3
rootbinddn cn=admin,o=cag
pam_password nds
ssl start_tls
nss_map_attribute uniqueMember member
pam_filter objectclass=posixAccount
nss_base_passwd o=cag
nss_base_shadow o=cag
nss_base_group o=cag
[5]
debian:~ # cat /etc/nsswitch.conf | grep -v ^\#
passwd: ldap files
group: ldap files
shadow: ldap files
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
.
- Follow-Ups:
- Re: LDAP Authentication Problem
- From: Klaus Gast
- Re: LDAP Authentication Problem
- From: Thomas Ginko
- Re: LDAP Authentication Problem
- Prev by Date: Re: AS 11.1 Manager: Dateiliste unvollstaendig
- Next by Date: Re: Wo ist Massimo?
- Previous by thread: Wo ist Massimo?
- Next by thread: Re: LDAP Authentication Problem
- Index(es):
Relevant Pages
|
