In der /etc/apache2/apache2.conf habe ich 2 Zeilen eingefügt: LDAPTrustedCA /etc/apache2/ldap_cert/cacert.pem LDAPTrustedCAType BASE64_FILE
Wie bekomme ich denn raus, welches SDK ich benutze? Der CA-Typ sollte - wie oeben eingestellt - richtig sein ... glaube ich. Die Datei sieht wie folgt aus: -----BEGIN CERTIFICATE----- MIICpjCCAg+gAwIBAgIBADANBgkqhkiG9w0BAQQFADBHMQswCQYDVQQGEwJERTEM MAoGA1UECBMDTlJXMQswCQYDVQQHEwJEVTELMAkGA1UEChMCUTExEDAOBgNVBAMT ... -----END CERTIFICATE----- ----- Original Message ----- From: "Ralf Glauberman" <[EMAIL PROTECTED]> To: <users-de@httpd.apache.org> Sent: Monday, November 08, 2004 9:17 PM Subject: Re: confirm subscribe to users-de@httpd.apache.org sind LDAPTrustedCA /certs/certfile.der LDAPTrustedCAType DER_FILE eingestellt? welches ldap-sdk verwendest du (Netscape/iPlanet ?)? welcher ca-typ? ----- Original Message ----- From: "Thorsten Göllner" <[EMAIL PROTECTED]> To: <users-de@httpd.apache.org> Sent: Monday, November 08, 2004 6:54 PM Subject: Re: confirm subscribe to users-de@httpd.apache.org > 1.) Ja, das Zertifikat hat "644". > 2.) Auch der LDAP-Server ist Linux (SuSE 9.0). Das von SuSE bereitgestellt > OpenSSL-Patch ist eingespielt. > 3.) Die Verschlüsselung sollte schon sein. Wenn ich mit ldap://... > arbeite, > klappt auch alles. Allerdings will ich die Übertragung verschlüsseln, weil > wir über einen Switch wandern, den ich nicht 100% kontrolliere :-) Eine > hardware-Lösung zur Absicherung haben wir leider nicht. > > ----- Original Message ----- > From: "Ralf Glauberman" <[EMAIL PROTECTED]> > To: <users-de@httpd.apache.org> > Sent: Monday, November 08, 2004 6:02 PM > Subject: Re: confirm subscribe to users-de@httpd.apache.org > > > 3 fragen: > 1.) ist das zertifikat für den server lesbar? (rechte?) > 2.) ist der ldap-server auch linux oder windows? > 3.) ist eine verschlüsselte übertragung zwangsweise erforderlich. > normalerweise sollt die verbindung zwischen den servern schon > hardwaremäßig > abhörsicher sei. > > ----- Original Message ----- > From: "Thorsten Göllner" <[EMAIL PROTECTED]> > To: <users-de@httpd.apache.org> > Sent: Monday, November 08, 2004 11:29 AM > Subject: Re: confirm subscribe to users-de@httpd.apache.org > > >> Hallo! >> >> Wir setzen gerade unseren Webserver neu auf. Dabei wollen wir die >> Authentifizierung über einen eingerichteten LDAP-Server realisieren. >> Grundsätzlich funktioniert unser Setup. Allerdings liegt der Fehler - wie >> so >> häufig - wohl im Detail. >> >> Die Basisinstallation ist von Debian. Es kommen dabei folgende Verisonen >> zum >> Einsatz: >> Apache 2.0.52 mit aktiviertem mod_auth_ldap. >> OpenSSL 0.9.7d (17. März 2004) >> >> Auf dem LDAP-Server liegen folgende Versionen: >> OpenSSL 0.9.7b (10. April 2003) >> >> Ich habe das cacert.pem auf den Webserver kopiert und der Zugriff >> funktioniert von der Shell aus auch: >> (wobei auch die unverschlüsselte Übertragung ohne -Z{Z} auch >> funktioniert?!) >> >> ldapsearch -h ldapserver.domain.de -b "ou=people,dc=domain,dc=de" >> "uid=userid" -ZZ -x >> >> # extended LDIF >> # >> # LDAPv3 >> # base <ou=people,dc=domain,dc=de> with scope sub >> # filter: uid=userid >> # requesting: ALL >> # >> >> # userid, people, domain.de >> dn: uid=userid,ou=people,dc=domain,dc=de >> objectClass: posixAccount >> objectClass: inetOrgPerson >> objectClass: sambaAccount >> gidNumber: 100 >> uidNumber: 500 >> sn: [..] >> loginShell: /bin/bash >> homeDirectory: /home/userid >> uid: userid >> pwdLastSet: 1094566508 >> logonTime: 0 >> logoffTime: 2147483647 >> kickoffTime: 2147483647 >> pwdCanChange: 0 >> pwdMustChange: 2147483647 >> displayName: [..] >> cn: [..] >> rid: 2000 >> primaryGroupID: 1201 >> acctFlags: [UX ] >> >> # search result >> search: 3 >> result: 0 Success >> >> # numResponses: 2 >> # numEntries: 1 >> >> >> Nun haben wir einen VirtualHost (für den DAV-Zugriff) in Apache >> konfiguriert; und zwar so: >> >> <VirtualHost *:80> >> ServerName dav.domain.de >> >> DocumentRoot /data/www/websites >> <Directory /data/www/websites> >> DAV on >> ForceType text/plain >> >> AuthType Basic >> AuthName "DAV-Area" >> AuthLDAPEnabled on # >> LDAP einschalten >> AuthLDAPURL >> ldaps://ldapserver.domain.de/dc=domain,dc=de?uid?one >> AuthLDAPAuthoritative on # >> nur LDAP als Authentifizierung zulassen >> require valid-user >> >> Options all >> AllowOverride None >> Order allow,deny >> Allow from all >> </Directory> >> >> # E-Mail-Adresse, die der Server in Fehlermeldungen einfügt, >> welche >> an den Client gesendet werden >> ServerAdmin [EMAIL PROTECTED] >> >> # Possible values include: debug, info, notice, warn, error, crit, >> alert, emerg. >> LogLevel debug >> CustomLog /data/www/log/dav.domain.de/access.log combined >> ErrorLog /data/www/log/dav.domain.de/error.log >> </VirtualHost> >> >> >> Wenn ich nun unter Windows XP (SP 1 oder SP 2) einen WebFolder einrichten >> will, um darauf zuzugreifen, poppt das Fenster mit "Benutzername" und >> "Kennwort" hoch. Wenn ich die Felder ausfülle und Enter drücke, bricht >> Windows mit dem Hinweis ab, dass ich keinen Zugriff habe. >> >> Nun habe ich auf dem LDAP-Server das verbose debugging mal aktiviert. >> Hier >> der Auszug: >> >> Nov 5 10:13:52 slapd[10242]: daemon: activity on 1 descriptors >> Nov 5 10:13:52 slapd[10242]: daemon: new connection on 29 >> Nov 5 10:13:52 slapd[10242]: conn=51 fd=29 ACCEPT from >> IP=192.168.65.181:33162 (IP=0.0.0.0:636) >> Nov 5 10:13:52 slapd[10242]: daemon: added 29r >> Nov 5 10:13:52 slapd[10242]: daemon: activity on: >> Nov 5 10:13:52 slapd[10242]: >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=6 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=7 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=8 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=9 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: activity on 1 descriptors >> Nov 5 10:13:52 slapd[10242]: daemon: activity on: >> Nov 5 10:13:52 slapd[10242]: 29r >> Nov 5 10:13:52 slapd[10242]: >> Nov 5 10:13:52 slapd[10242]: daemon: read activity on 29 >> Nov 5 10:13:52 slapd[10242]: connection_get(29) >> Nov 5 10:13:52 slapd[10242]: connection_get(29): got connid=51 >> Nov 5 10:13:52 slapd[10242]: connection_read(29): checking for input on >> id=51 >> Nov 5 10:13:52 slapd[10242]: connection_read(29): TLS accept error >> error=-1 >> id=51, closing >> Nov 5 10:13:52 slapd[10242]: connection_closing: readying conn=51 sd=29 >> for >> close >> Nov 5 10:13:52 slapd[10242]: connection_close: conn=51 sd=29 >> Nov 5 10:13:52 slapd[10242]: daemon: removing 29 >> Nov 5 10:13:52 slapd[10242]: conn=51 fd=29 closed >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=6 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=7 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=8 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=9 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: activity on 1 descriptors >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=6 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=7 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=8 active_threads=1 >> tvp=NULL >> Nov 5 10:13:52 slapd[10242]: daemon: select: listen=9 active_threads=1 >> tvp=NULL >> >> >> Daran meine ich zumindest zu erkennen, dass es erst gar nicht dazu kommt, >> dasss im LDAP nach der uid gesucht wird. Das ganze bricht schon beim >> Verbindungsaufbau ab. Und genau hier weiss ich nicht mehr weiter. Ich >> habe >> das Web nun einen Tag durchsucht, aber nur einen gefunden, der ein >> ähnliches >> Problem hat: >> > http://groups.google.com/groups?hl=de&lr=&threadm=DjsQc.3474%248%255.850%40prv-forum2.provo.novell.com&rnum=2&prev=/groups%3Fq%3DLDAPTrustedCAType%2Bpem%26hl%3Dde%26lr%3D%26selm%3DDjsQc.3474%25248%25255.850%2540prv-forum2.provo.novell.com%26rnum%3D2 >> >> Ich habe den Eintrag "TLS_REQCERT never" mal auf dem Webserver in die >> /etc/ldap/ldap.conf eingetragen - aber ohne Erfolg. >> >> Wenn man nun den VirtualHost-Eintrag auf dem Apache so ädert, dass das >> ganze >> unverschüsselt laufen soll, dann klappt alles tadellos (anstatt ldaps:// >> nun >> ldap://): >> >> <VirtualHost *:80> >> [...] >> AuthLDAPEnabled on # >> LDAP einschalten >> AuthLDAPURL >> ldap://ldapserver.domain.de/dc=q1ag,dc=de?uid?one >> AuthLDAPAuthoritative on # >> nur LDAP als Authentifizierung zulassen >> [...] >> </VirtualHost> >> >> >> Es hapert wohl wirklich am TLS-Handshake. Und gerade das verstehe ich >> nicht, >> weil es ja von der Kommandozeile funktioniert. >> >> Hat jemand eine Idee? >> >> Schöne Grüße, >> -Thorsten- >> >> >> ------------------------------------------------------------------------- - >> Apache HTTP Server Mailing List "users-de" >> unsubscribe-Anfragen an [EMAIL PROTECTED] >> sonstige Anfragen an [EMAIL PROTECTED] >> ------------------------------------------------------------------------- - >> > > > -------------------------------------------------------------------------- > Apache HTTP Server Mailing List "users-de" > unsubscribe-Anfragen an [EMAIL PROTECTED] > sonstige Anfragen an [EMAIL PROTECTED] > -------------------------------------------------------------------------- > > > > -------------------------------------------------------------------------- > Apache HTTP Server Mailing List "users-de" > unsubscribe-Anfragen an [EMAIL PROTECTED] > sonstige Anfragen an [EMAIL PROTECTED] > -------------------------------------------------------------------------- > -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] -------------------------------------------------------------------------- -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------