Witaj,
Najpierw sie zdecyduj czy chcesz uzywac startTLS ablo SSL/TLS w sambie
poniewaz sie wzajemnie wykluczaja.
wiec
ldapsam:ldaps
albo
ldapsam:ldap i ldap ssl = start tls
server ldap mozesz sprawdzic:
ssl
env LDAPTLS_CACERT=pthdotwojegocertifikatut.pem ldapsearch -x -H
ldaps://twojldapserver -D 'cn=admin,dc=example,dc=com' -W -b
'dc=example,dc=com'
start tls
env LDAPTLS_CACERT=pthdotwojegocertifikatut.pem ldapsearch -x -Z -H
ldap://twojldapserver -D 'cn=admin,dc=example,dc=com' -W -b
'dc=example,dc=com'
pozdr,
Wojciech
On 04/07/13 13:59, Jan Wideł wrote:
Hej,
mam działający ldap który do tej pory służył do autoryzacji Cisco ISE. Teraz
przyszła kolej na podpięcie do niego kolejnych usług w tym samby.
smb.conf:
…
security = user
passdb backend = ldapsam:ldaps://ldap1.networkers.local:636
ldap admin dn = cn=admin,dc=networkers,dc=local
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap passwd sync = Yes
ldap suffix = dc=networkers,dc=local
ldap user suffix = ou=people
…
Log z serwera samba:
[2013/07/04 14:53:22.353681, 0] lib/smbldap.c:799(smb_ldap_start_tls)
Failed to issue the StartTLS instruction: Can't contact LDAP server
[2013/07/04 14:53:24.423190, 0] lib/smbldap.c:799(smb_ldap_start_tls)
Failed to issue the StartTLS instruction: Can't contact LDAP server
[2013/07/04 14:53:26.493032, 0] lib/smbldap.c:799(smb_ldap_start_tls)
Failed to issue the StartTLS instruction: Can't contact LDAP server
Log z serwera ldap:
Jul 4 14:52:42 ds-1-net-mgmt slapd[1055]: conn=1993 fd=28 ACCEPT from
IP=10.8.100.202:40095 (IP=0.0.0.0:636)
Jul 4 14:52:42 ds-1-net-mgmt slapd[1055]: conn=1993 fd=28 TLS established
tls_ssf=128 ssf=128
Jul 4 14:52:43 ds-1-net-mgmt slapd[1055]: conn=1993 fd=28 closed (connection
lost)
Jul 4 14:52:43 ds-1-net-mgmt slapd[1055]: conn=1994 fd=28 ACCEPT from
IP=10.8.100.202:40096 (IP=0.0.0.0:636)
Jul 4 14:52:43 ds-1-net-mgmt slapd[1055]: conn=1994 fd=28 TLS established
tls_ssf=128 ssf=128
Jul 4 14:52:44 ds-1-net-mgmt slapd[1055]: conn=1994 fd=28 closed (connection
lost)
Google wyrzucają, żeby sprawdzić czy CN jest poprawny:
DS-1-NET-MGMT:~# openssl x509 -in /etc/ssl/certs/ldap-1-cert.pem -noout -text |
grep CN
Issuer: C=PL, ST=Malopolskie, L=Krakow, O=networkers.pl,
CN=SUBCA-1/emailAddress=nad...@networkers.pl
Subject: C=PL, ST=Malopolskie, L=Krakow, O=networkers.pl,
CN=ldap1.networkers.local/emailAddress=nad...@networkers.pl
Już mi się pomysły kończą, może ktoś z was ma SMB+LDAP działające i podpowie:)
Pozdrawiam,
--
To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51d57fb3.2070...@gmail.com