Re: LDAP Client mit TLS Probleme
Hallo Liste, habe auf euren Vorschlag hin mal LDAP SSL am OSX Server deaktiviert. Damit klappt es dann ohne Probleme sich mittels getent passwd nutzer die Daten eines LDAP-Users anzugucken. Auch ldapsearch funktioniert. Sobald man aber SSL wieder aktiv macht und am Debian-Clienten in den entsprechenden Dateien ssl start_tls eintraegt, geht es (wie beschrieben) nicht. Auf dem Server ist als Zertifikat default eingestellt und mittels einem SUSE 10 als Client klappt es wie gesagt ohne Probleme. Muss ich bei Debian irgendein Zertifikat haben, das bei SUSE schon eingerichtet ist? Man kann ja auch Zertifikate mittels openssl und so exportieren/importieren. Kennt jemand da ein gutes Howto? Oder weiss jemand woran es sonst liegen kann? Jeder Hinweis willkommen, Danke Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Client mit TLS Probleme
Derk Wachsmuth wrote: Hallo Liste, habe auf euren Vorschlag hin mal LDAP SSL am OSX Server deaktiviert. Damit klappt es dann ohne Probleme sich mittels getent passwd nutzer die Daten eines LDAP-Users anzugucken. Auch ldapsearch funktioniert. Sobald man aber SSL wieder aktiv macht und am Debian-Clienten in den entsprechenden Dateien ssl start_tls eintraegt, geht es (wie beschrieben) nicht. [...] tls_checkpeer no in /etc/pam_ldap.conf hast Du ausprobiert? Was steht denn eigentlich in den Logdateien des Debian-Clients? Bei TLS über Port 398 habe ich unter Debian sporadisch die Meldung pam_ldap: ldap_starttls_s: Connect error bekommen. Seit ich mit ssl on anstelle von ssl start_tls auf SSL über Port 636 umgestellt habe, gibt es keine entsprechenden Meldungen mehr. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Client mit TLS Probleme
Hallo Derk, Derk Wachsmuth, 27.03.2006 (d.m.y): habe auf euren Vorschlag hin mal LDAP SSL am OSX Server deaktiviert. Damit klappt es dann ohne Probleme sich mittels getent passwd nutzer die Daten eines LDAP-Users anzugucken. Auch ldapsearch funktioniert. Sobald man aber SSL wieder aktiv macht und am Debian-Clienten in den entsprechenden Dateien ssl start_tls eintraegt, geht es (wie beschrieben) nicht. Sollte ich da voellig falsch liegen, bitte ich um Korrektur: Evtl. verwechselst Du da etwas: Man kann LDAP ueber den normalen LDAP-Port (389) mit TLS betreiben _oder_ aber ueber Port 636 gleich SSL-verschluesseltes LDAP fahren. Klarung sollte jeweils ein Portscan des LDAP-Servers schaffen - einmal mit und einmal ohne SSL-Aktivierung. Vielleicht bringt Dich auch die Doku von Apple zum Thema OS X Server weiter... Gruss, Christian Schmidt -- Windows 98 bringt die Leistung von gestern auf die Computer von heute. signature.asc Description: Digital signature
Re: Re: LDAP Client mit TLS Probleme
Hallo Christian, das kann gut sein, das ich da was durcheinanderbringe - bin da sehr unerfahren, was diese ganzen SSL Sachen angeht... Habe jetzt mal folgendes getestet: Portscan auf den OSX Server ohne SSL: wie erwartet Port 389 offen. SSL aktiviert: Port 389 UND Port 636 offen... mit der Folge, das ich jetzt trotz aktivem SSL auf dem Server mit meinem Debian-Client ohne jede SSL/TLS aktiviert ein getent machen kann - hatte ich vorher noch gar nicht ausprobiert, da ich dachte, wenn SSL auf dem Server aktiv ist, MUSS ich auch auf dem Client SSL bzw. TLS machen. Das ich so auf TLS fixiert bin, liegt an SUSE10: Da gehts ja mit aktivem TLS (ssl on auskommentiert). Ich hatte auf dem Debian statt ssl start_tls auch mal ssl on probiert, aber ebenfalls ohne Erfolg. Da es dem Server voellig egal zu sein scheint, ob der Client SSL nutzt oder nicht, muss ich sowieso mal sehen wie ich jetzt weiter vorgehe... An log-Dateien zur Fehlersuche habe ich auch schon gedacht, aber in welcher unter /var/logs finde ich denn dazu Logs? tls_checkpeer no in /etc/pam_ldap.conf hast Du ausprobiert? Nein habe ich noch nicht probiert. Vielen Dank erst mal fuer die Hinweise, Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: LDAP Client mit TLS Probleme
Hallo Christian, das kann gut sein, das ich da was durcheinanderbringe - bin da sehr unerfahren, was diese ganzen SSL Sachen angeht... Habe jetzt mal folgendes getestet: Portscan auf den OSX Server ohne SSL: wie erwartet Port 389 offen. SSL aktiviert: Port 389 UND Port 636 offen... mit der Folge, das ich jetzt trotz aktivem SSL auf dem Server mit meinem Debian-Client ohne jede SSL/TLS aktiviert ein getent machen kann - hatte ich vorher noch gar nicht ausprobiert, da ich dachte, wenn SSL auf dem Server aktiv ist, MUSS ich auch auf dem Client SSL bzw. TLS machen. Das ich so auf TLS fixiert bin, liegt an SUSE10: Da gehts ja mit aktivem TLS (ssl on auskommentiert). Ich hatte auf dem Debian statt ssl start_tls auch mal ssl on probiert, aber ebenfalls ohne Erfolg. Da es dem Server voellig egal zu sein scheint, ob der Client SSL nutzt oder nicht, muss ich sowieso mal sehen wie ich jetzt weiter vorgehe... An log-Dateien zur Fehlersuche habe ich auch schon gedacht, aber in welcher unter /var/logs finde ich denn dazu Logs? tls_checkpeer no in /etc/pam_ldap.conf hast Du ausprobiert? Nein habe ich noch nicht probiert. Vielen Dank erst mal fuer die Hinweise, Derk -- Derk Wachsmuth Computing Center, Max-Planck-Institute for Limnology August-Thienemann-Str. 2, 24306 Ploen, Germany ++49-(0)4522-763-315, Fax ++49-(0)4522-763-318 mailto:[EMAIL PROTECTED] http://www.mpil-ploen.mpg.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: LDAP Client mit TLS Probleme
Hallo Derk, Derk Wachsmuth, 27.03.2006 (d.m.y): Habe jetzt mal folgendes getestet: Portscan auf den OSX Server ohne SSL: wie erwartet Port 389 offen. SSL aktiviert: Port 389 UND Port 636 offen... mit der Folge, das ich jetzt trotz aktivem SSL auf dem Server mit meinem Debian-Client ohne jede SSL/TLS aktiviert ein getent machen kann - hatte ich vorher noch gar nicht ausprobiert, da ich dachte, wenn SSL auf dem Server aktiv ist, MUSS ich auch auf dem Client SSL bzw. TLS machen. Wenn Du _SSL_ auf dem Server aktivierst, muss der Client IMO auch SSL machen. Soweit ich das verstanden habe, laeuft der TLS-Krams bei LDAP (aehnlich wie bei SMTP) ueber den normalen Port (389), und die Beteiligten merken dann ggf, dass sie die Verbindung via TLS abwickeln koennen. Das ich so auf TLS fixiert bin, liegt an SUSE10: Da gehts ja mit aktivem TLS (ssl on auskommentiert). Ich hatte auf dem Debian statt ssl start_tls auch mal ssl on probiert, aber ebenfalls ohne Erfolg. Da es dem Server voellig egal zu sein scheint, ob der Client SSL nutzt oder nicht, muss ich sowieso mal sehen wie ich jetzt weiter vorgehe... IMO solltest Du es weiter mit ssl on versuchen und vielleicht sogar dem Server das Anbieten von unverschluesseltem LDAP via Port 389 ganz abgewoehnen. Gruss, Christian Schmidt -- Die Menschen sind ihrer Zeit ähnlicher als ihren Vätern. -- Heinrich Leberecht Fleischer signature.asc Description: Digital signature
Re: LDAP Client mit TLS Probleme
Christian Schmidt schreibt: Wenn Du _SSL_ auf dem Server aktivierst, muss der Client IMO auch SSL machen. Soweit ich das verstanden habe, laeuft der TLS-Krams bei LDAP (aehnlich wie bei SMTP) ueber den normalen Port (389), und die Beteiligten merken dann ggf, dass sie die Verbindung via TLS abwickeln koennen. Das stimmt so nicht. Der Client muss explizit TLS anfordern, wenn die Verbindung über Port 389 verschlüsselt werden soll. Er kann aber auch ohne Verschlüsselung weitermachen, hat dann aber unter Umständen weniger Rechte. Je nachdem was auf dem Server festgelegt worden ist. Möglich ist im Fall des OP, dass der Client bei TLS und SSL das Server-Zertifikat überprüfen will, das Stammzertfikat aber nicht mit tls_cacertfile festgelegt worden ist. In /etc/pam_ldap.conf steht jedenfalls, dass das Zertifikat ab der Version 2.1 von OpenLDAP überprüft wird. Abschalten kann man das in pam_ldap.conf mit tls_checkpeer no. Hm, ich sehe gerade, dass der OP in /etc/ldap/ldap.conf TLS_REQCERT allow eingetragen hat. Die Überprüfung ist also abgeschaltet bzw. optional. Dann weiß ich auch nicht weiter. Ich würden den slapd auf dem Server im Debug-Modus starten und schauen, was los ist. Ich nehme allerdings an, daß man dazu auch unter Mac OS X Server eine Shell öffnen muß :-) IMO solltest Du es weiter mit ssl on versuchen und vielleicht sogar dem Server das Anbieten von unverschluesseltem LDAP via Port 389 ganz abgewoehnen. Hm, das dürfte den OP der Problemlösung keinen Schritt näher bringen. Sinnvoller wäre es außerdem, mit Hilfe von ACLs auf dem Server festzulegen, auf welche Attribute nur verschlüsselt zugegriffen werden kann. Es gibt durchaus Clients, die kein SSL/TLS können, aber zum Beispiel auf ein globales Adressbuch zugreifen können sollen. Zum Beispiel manche IP-Telefonapparate. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Client mit TLS Probleme
Derk Wachsmuth wrote: Ich wundere mich halt, da ldapsearch geht - da kann doch eigentlich nicht soviel zum LDAP-login fehlen. Wie rufst Du ldapsearch eigentlich auf? Was passiert bei folgendem Befehl: ldapsearch -xZZ -h HOSTNAME -b SUCHBASIS -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Client mit TLS Probleme
Derk Wachsmuth wrote: [...] Warum geht getent nicht? Ich bin da echt ratlos. Die weiteren Schritte mit anpassen der Sachen in /etc/pam.d und der /etc/nsswitch habe ich erst mal weggelassen, da ich mich dann immer aus dem System aussperre... Hm, Du hast LDAP aber in der nsswitch.conf aber aktiviert, oder etwa nicht? Wenn da nicht etwas wie passwd: files ldap steht, dann liefert getent konsequenterweise keine Daten aus dem LDAP-Verzeichnis. Einfach Sachen von der SUSE uebernehmen geht nicht, da dort anscheinend keine libnss-ldap.conf und pam_ldap.conf genutzt werden, stattdessen gibt es dort zwei ldap.conf: /etc/openldap/ldap.conf [...] /etc/openldap/ldap.conf unter SUSE entspricht /etc/ldap/ldap.conf unter Debian. /etc/ldap.conf Bei Debian ist der Inhalt dieser Datei in libnss-ldap.conf und pam_ldap.conf getrennt. In libnss-ldap.conf kannst Du u.U. auf SSL/TLS verzichten, da über diesen Kanal keine Klartextkennworte gehen. Wenn Dein LDAP-Server nicht zwingend SSL/TLS erfordert, dann versuche erst einmal NSS ohne Verschlüsselung hinzubekommen. Mit ssl start_tls in libnss-ldap.conf und pam_ldap.conf hatte ich unter Debian schon seltsame Probleme. Falls Dein LDAP-Server auch auf Port 636 lauschen sollte, dann versuch es mal mit ssl on. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Client mit TLS Probleme
Derk Wachsmuth [EMAIL PROTECTED] writes: [...] /etc/pam_ldap.conf host xxx.xxx.xxx.xxx base dc=mein,dc=server ldap_version 3 pam_password crypt ssl start_tls /etc/libnss_ldap.conf host xxx.xxx.xxx.xxx base dc=mein,dc=server ldap_version 3 pam_password crypt ssl start_tls Zusaetzlich habe ich in der /etc/ldap/ldap.conf eingetragen: TLS_REQCERT allow host xxx.xxx.xxx.xxx base dc=mein,dc=server Soweit so gut. Jetzt mueste theoretisch ein getenv passwd ein-ldap-user ^^ Du meinst getent, oder? irgendwas anzeigen, wenn ich richtig liege (?). Tut es aber nicht. Dagegen kann ich ldapsearch machen und bekomme nach Eingabe des Passworts eine komplette Liste mit allen Usern des LDAP-Servers!! Warum geht getent nicht? Ich bin da echt ratlos. Die weiteren Schritte mit anpassen der Sachen in /etc/pam.d und der /etc/nsswitch habe ich erst mal weggelassen, da ich mich dann immer aus dem System aussperre... getent nutzt (natürlich) NSS. getent mit LDAP kann also nur gehen, wenn NSS über /etc/nsswitch.conf von LDAP Ahnung hat. Eigentlich logisch, oder? Ralf
Re: Re: LDAP Client mit TLS Probleme
Andreas Vögele wrote: Hm, Du hast LDAP aber in der nsswitch.conf aber aktiviert, oder etwa nicht? Wenn da nicht etwas wie passwd: files ldap steht, dann liefert getent konsequenterweise keine Daten aus dem LDAP-Verzeichnis. Hallo, ja in der nsswitch.conf ist folgendes eingetragen: passwd: files ldap group: files ldap shadow: files ldap der Rest ist erst mal unveraendert. Sorry haette ich natuerlich sagen sollen. Die Sachen in /etc/pam.d sind alle noch original. Statt der Angabe files hatte ich auch schon compat da stehen, aendert aber nix. Tja, immer noch ratlos, warum's getent nicht tut. /etc/openldap/ldap.conf unter SUSE entspricht /etc/ldap/ldap.conf unter Debian. Jo. habe ich mir gedacht :-) /etc/ldap.conf Bei Debian ist der Inhalt dieser Datei in libnss-ldap.conf und pam_ldap.conf getrennt. In libnss-ldap.conf kannst Du u.U. auf SSL/TLS verzichten, da über diesen Kanal keine Klartextkennworte gehen. Wenn Dein LDAP-Server nicht zwingend SSL/TLS erfordert, dann versuche erst einmal NSS ohne Verschlüsselung hinzubekommen. Mit ssl start_tls in libnss-ldap.conf und pam_ldap.conf hatte ich unter Debian schon seltsame Probleme. Falls Dein LDAP-Server auch auf Port 636 lauschen sollte, dann versuch es mal mit ssl on. Danke. Werde mal weiter forschen und eventuell mal ohne SSL/TLS probieren. Gruss, Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: LDAP Client mit TLS Probleme
Ralf Doering wrote: Derk Wachsmuth [EMAIL PROTECTED] writes: Soweit so gut. Jetzt mueste theoretisch ein getenv passwd ein-ldap-user ^^ Du meinst getent, oder? Klar. getent nutzt (natürlich) NSS. getent mit LDAP kann also nur gehen, wenn NSS über /etc/nsswitch.conf von LDAP Ahnung hat. Eigentlich logisch, oder? Sorry Ralf, hatte ich leider nicht geschrieben. In der nsswitch ist bei passwd: files ldap eingetragen. Die Sachen in /etc/pam.d sind noch nicht geandert, aber getent muesste doch trotzdem gehen, oder? Muss ich vielleicht noch irgendwelche Zertifikate austauschen? Bei SUSE musste ich da nichts machen, aber wer weiss... Ich wundere mich halt, da ldapsearch geht - da kann doch eigentlich nicht soviel zum LDAP-login fehlen. Gruss, Derk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
