Scusatemi ma proprio non mi raccapezzo.
Innanzitutto non so se è un problema di debian, che come sempre
continua ad usare la libldap vecchia per la fase di eterna transizione
da ssl a tls:
sdinny:~# dpkg -l | grep ldap
ii ldap-utils 2.3.30-5 OpenLDAP
utilities
ii libldap-2.3-0 2.3.30-5 OpenLDAP
libraries
ii libldap2 2.1.30-13.3 OpenLDAP
libraries
ii libldap2-dev 2.1.30-13.3 OpenLDAP
development libraries
ii libnet-ldap-perl 0.33-2 A Client
interface to LDAP servers
ii libnss-ldap 251-7.5 NSS module for
using LDAP as a naming servic
ii libpam-ldap 180-1.7 Pluggable
Authentication Module allowing LDA
ii php5-ldap 5.2.0-8+etch4 LDAP module
for php5
ii smbldap-tools 0.9.2-3 Scripts to
manage Unix and Samba accounts st
ma era una cosa che ho sempre riscontrato sia su sarge che su etch, e
anche sulle ultime tre versioni di ubuntu.
la cosa mi dava parecchio fastidio sui client, ma finora l'avevo
ignorata sui server.
Sostanzialmente il problema è che se io metto in /etc/ldap/ldap.conf (ma
ovviamente anche in ogni ldap.rc) una opzione come:
TLS_CACERTDIR /etc/ssl/certs
se dentro ho uno/due certificati non succede nulla.
Ma se installo il pacchetto ca-certificates che contiene il centinaio
di certificati 'standard' delle varie CA accreditate, ad ogni 'connect'
è come se i certificati venissero 'enumerati': per una decina
abbondante di secondi la CPU schizza al 100% e la connessione stalla.
Ovviamente il problema non si pone se io esplicito il certificato della
CA:
TLS_CACERT /etc/ssl/certs/LNFVeneto.pem
ma in questo caso se ho bisogno di due CA sono 'cagato', specie se ne
ho bisogno via apache/php5 e le funzioni ldap di php, dove non è
possibile passare un qualche altro valore di TLS_CACERT.
Ho anche provato a mettere una cosa stile:
TLS_CACERT /etc/ssl/certs/LNFVeneto.pem
TLS_CACERTDIR /etc/ssl/certs
sperando che fosse intelligente abbastanza da 'provare' il certificato
indicato, e quindi pasare ad 'enumerarli' ma ciccia, mi continua il
timeout di una decina di secondi con cpu al 100%.
Questo comportamento avviene con *TUTTI* i programmi linkati con
libldap: libnss/libpam-ldap (ma per questi è possibile specificare un
override nel file di configurazione), gq, php, ovviamente ldapsearch,
...
Ho provato anche a 'giocare' con i parametro:
TLS_REQCERT never
ma senza alcun cambiamento.
Se sbaglio qualcosa, dove sbaglio? Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
