Re: Re: LDAP Client mit TLS Probleme
Hallo Christian, das kann gut sein, das ich da was durcheinanderbringe - bin da sehr unerfahren, was diese ganzen SSL Sachen angeht... Habe jetzt mal folgendes getestet: Portscan auf den OSX Server ohne SSL: wie erwartet Port 389 offen. SSL aktiviert: Port 389 UND Port 636 offen... mit der Folge, das ich jetzt trotz aktivem SSL auf dem Server mit meinem Debian-Client ohne jede SSL/TLS aktiviert ein getent machen kann - hatte ich vorher noch gar nicht ausprobiert, da ich dachte, wenn SSL auf dem Server aktiv ist, MUSS ich auch auf dem Client SSL bzw. TLS machen. Das ich so auf TLS fixiert bin, liegt an SUSE10: Da gehts ja mit aktivem TLS (ssl on auskommentiert). Ich hatte auf dem Debian statt ssl start_tls auch mal ssl on probiert, aber ebenfalls ohne Erfolg. Da es dem Server voellig egal zu sein scheint, ob der Client SSL nutzt oder nicht, muss ich sowieso mal sehen wie ich jetzt weiter vorgehe... An log-Dateien zur Fehlersuche habe ich auch schon gedacht, aber in welcher unter /var/logs finde ich denn dazu Logs? >"tls_checkpeer no" in /etc/pam_ldap.conf hast Du ausprobiert? Nein habe ich noch nicht probiert. Vielen Dank erst mal fuer die Hinweise, Derk -- Derk Wachsmuth Computing Center, Max-Planck-Institute for Limnology August-Thienemann-Str. 2, 24306 Ploen, Germany ++49-(0)4522-763-315, Fax ++49-(0)4522-763-318 mailto:[EMAIL PROTECTED] http://www.mpil-ploen.mpg.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: LDAP Client mit TLS Probleme
Hallo Christian, das kann gut sein, das ich da was durcheinanderbringe - bin da sehr unerfahren, was diese ganzen SSL Sachen angeht... Habe jetzt mal folgendes getestet: Portscan auf den OSX Server ohne SSL: wie erwartet Port 389 offen. SSL aktiviert: Port 389 UND Port 636 offen... mit der Folge, das ich jetzt trotz aktivem SSL auf dem Server mit meinem Debian-Client ohne jede SSL/TLS aktiviert ein getent machen kann - hatte ich vorher noch gar nicht ausprobiert, da ich dachte, wenn SSL auf dem Server aktiv ist, MUSS ich auch auf dem Client SSL bzw. TLS machen. Das ich so auf TLS fixiert bin, liegt an SUSE10: Da gehts ja mit aktivem TLS (ssl on auskommentiert). Ich hatte auf dem Debian statt ssl start_tls auch mal ssl on probiert, aber ebenfalls ohne Erfolg. Da es dem Server voellig egal zu sein scheint, ob der Client SSL nutzt oder nicht, muss ich sowieso mal sehen wie ich jetzt weiter vorgehe... An log-Dateien zur Fehlersuche habe ich auch schon gedacht, aber in welcher unter /var/logs finde ich denn dazu Logs? >"tls_checkpeer no" in /etc/pam_ldap.conf hast Du ausprobiert? Nein habe ich noch nicht probiert. Vielen Dank erst mal fuer die Hinweise, Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Client mit TLS Probleme
Hallo Liste, habe auf euren Vorschlag hin mal LDAP SSL am OSX Server deaktiviert. Damit klappt es dann ohne Probleme sich mittels "getent passwd nutzer" die Daten eines LDAP-Users anzugucken. Auch ldapsearch funktioniert. Sobald man aber SSL wieder aktiv macht und am Debian-Clienten in den entsprechenden Dateien ssl start_tls eintraegt, geht es (wie beschrieben) nicht. Auf dem Server ist als Zertifikat "default" eingestellt und mittels einem SUSE 10 als Client klappt es wie gesagt ohne Probleme. Muss ich bei Debian irgendein Zertifikat haben, das bei SUSE schon eingerichtet ist? Man kann ja auch Zertifikate mittels openssl und so exportieren/importieren. Kennt jemand da ein gutes Howto? Oder weiss jemand woran es sonst liegen kann? Jeder Hinweis willkommen, Danke Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: LDAP Client mit TLS Probleme
Ralf Doering wrote: > Derk Wachsmuth <[EMAIL PROTECTED]> writes: >> Soweit so gut. Jetzt mueste theoretisch ein >> getenv passwd ein-ldap-user > > > ^^ > > Du meinst getent, oder? > Klar. > getent nutzt (natürlich) NSS. getent mit LDAP kann also nur gehen, > wenn NSS über /etc/nsswitch.conf von LDAP Ahnung hat. Eigentlich > logisch, oder? > Sorry Ralf, hatte ich leider nicht geschrieben. In der nsswitch ist bei passwd: files ldap eingetragen. Die Sachen in /etc/pam.d sind noch nicht geandert, aber getent muesste doch trotzdem gehen, oder? Muss ich vielleicht noch irgendwelche Zertifikate austauschen? Bei SUSE musste ich da nichts machen, aber wer weiss... Ich wundere mich halt, da ldapsearch geht - da kann doch eigentlich nicht soviel zum LDAP-login fehlen. Gruss, Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: LDAP Client mit TLS Probleme
Andreas Vögele wrote: > > Hm, Du hast LDAP aber in der nsswitch.conf aber aktiviert, oder etwa nicht? Wenn da nicht etwas wie "passwd: files ldap" steht, dann liefert getent konsequenterweise keine Daten aus dem LDAP-Verzeichnis. Hallo, ja in der nsswitch.conf ist folgendes eingetragen: passwd: files ldap group: files ldap shadow: files ldap der Rest ist erst mal unveraendert. Sorry haette ich natuerlich sagen sollen. Die Sachen in /etc/pam.d sind alle noch "original". Statt der Angabe files hatte ich auch schon compat da stehen, aendert aber nix. Tja, immer noch ratlos, warum's getent nicht tut. > /etc/openldap/ldap.conf unter SUSE entspricht /etc/ldap/ldap.conf unter Debian. > Jo. habe ich mir gedacht :-) >> /etc/ldap.conf > > > > Bei Debian ist der Inhalt dieser Datei in libnss-ldap.conf und pam_ldap.conf getrennt. In libnss-ldap.conf kannst Du u.U. auf SSL/TLS verzichten, da über diesen Kanal keine Klartextkennworte gehen. > > Wenn Dein LDAP-Server nicht zwingend SSL/TLS erfordert, dann versuche erst einmal NSS ohne Verschlüsselung hinzubekommen. > > Mit "ssl start_tls" in libnss-ldap.conf und pam_ldap.conf hatte ich unter Debian schon seltsame Probleme. Falls Dein LDAP-Server auch auf Port 636 lauschen sollte, dann versuch es mal mit "ssl on". > > Danke. Werde mal weiter forschen und eventuell mal ohne SSL/TLS probieren. Gruss, Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
LDAP Client mit TLS Probleme
Hallo liebe Liste, ich habe hier ein Problem unter Debian Sarge LDAP als Client einzurichten... Ich habe einen MacOSX 10.4 Server laufen, der ueber ein OpenDirectory mittels LDAP Nutzerdaten zur Anmelden zur Verfuegung stellt (SSL ist aktiviert). Nun sollen sich einige Linux-Maschienen ihre Login-Accounts von diesem Rechner holen. Von einem Rechner mit SUSE10 geht das auch (in YAST2 LDAP-Client Modul konfigurieren), aber mit Debian-Rechern geht das irgendwie schief. Auf dem Debian-System sind erst mal lippam-ldap und libnss-ldap installiert und mit IP und search base des Servers konfiguriert. In der libnss-ldap.conf ist zusaetzlich ssl start_tls eingetragen. Ebenso in der pam_ldap.conf. /etc/pam_ldap.conf host xxx.xxx.xxx.xxx base dc=mein,dc=server ldap_version 3 pam_password crypt ssl start_tls /etc/libnss_ldap.conf host xxx.xxx.xxx.xxx base dc=mein,dc=server ldap_version 3 pam_password crypt ssl start_tls Zusaetzlich habe ich in der /etc/ldap/ldap.conf eingetragen: TLS_REQCERT allow host xxx.xxx.xxx.xxx base dc=mein,dc=server Soweit so gut. Jetzt mueste theoretisch ein getenv passwd ein-ldap-user irgendwas anzeigen, wenn ich richtig liege (?). Tut es aber nicht. Dagegen kann ich ldapsearch machen und bekomme nach Eingabe des Passworts eine komplette Liste mit allen Usern des LDAP-Servers!! Warum geht getent nicht? Ich bin da echt ratlos. Die weiteren Schritte mit anpassen der Sachen in /etc/pam.d und der /etc/nsswitch habe ich erst mal weggelassen, da ich mich dann immer aus dem System aussperre... Einfach Sachen von der SUSE uebernehmen geht nicht, da dort anscheinend keine libnss-ldap.conf und pam_ldap.conf genutzt werden, stattdessen gibt es dort zwei ldap.conf: /etc/openldap/ldap.conf TLS_REQCERT allow host xxx.xxx.xxx.xxx base dc=mein,dc=server /etc/ldap.conf host xxx.xxx.xxx.xxx base dc=mein,dc=server ldap_version 3 pam_password crypt ssl start_tls nss_map_atttribute uniqueMember member pam_filter objectclass=posixAccount nss_base_passwd cn=users,dc=mein,dc=server nss_base_shadow cn=passwordserver,cn=config,dc=mein,dc=server nss_base_group cn=groups,dc=mein,dc=server Damit geht es auf dem SUSE10 System, aber wie gesagt, die Dateien legt YAST an, ich musste nur die IP und die search base angeben und SSL/TLS nutzem anklicken. Das war's. Kann miR jemand sagen, wo ich bei Debian einen Fehler mache?? Jeder Tip willkommen, Danke! Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)