[Comm] OpenLDAP и SSL

[Comm] OpenLDAP и SSL

[Alexey Borovskoy]

Добрый день.

Не получается подружить openldap с openssl.
Без ssl ldap работает нормально. 

Дано:
openldap-servers-2.0.27-alt5
openldap-2.0.27-alt5
openssl-0.9.6i-alt3

1. Генерю сертификат с помощью
openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem

cn прописываю как server.intranet. В DNS все нормально.

2. Получившийся сертификат кладу в /etc/openldap/

3. В /etc/openldap/slapd.conf раскоментирую строчки
 TLSCipherSuite         HIGH:MEDIUM:+SSLv2
 TLSCertificateFile      /etc/openldap/ldap.pem
 TLSCertificateKeyFile   /etc/openldap/ldap.pem
 TLSCACertificateFile    /etc/openldap/ldap.pem

4. Делаю service ldap start

5. Делаю netstat -tl
tcp        0      0 server.intranet:ldaps   *:*     LISTEN

6. Коннекчусь GQ, прописываю пароль rootdn и получаю ошибку
Can't contact LDAP server

7. Беру ldapsearch -ZZ -D "cn=ldapadmin,dc=intranet" -w secret -h 
server.intranet -p 636 -n -v -d 9

получаю

ldap_init( server.intranet, 636 )
ldap_create
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: server.intranet
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.1.1.7:636
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_ndelay_on: 3
ldap_is_sock_ready: 3
ldap_ndelay_off: 3
ldap_open_defconn: successful
ldap_send_server_request
ber_flush: 31 bytes to sd 3
ldap_result msgid 1
ldap_chkResponseList for msgid=1, all=1
ldap_chkResponseList returns NULL
wait4msg (infinite timeout), msgid 1
wait4msg continue, msgid 1, all 1
** Connections:
* host: server.intranet  port: 636  (default)
  refcnt: 2  status: Connected
  last used: Sat Apr 19 14:05:27 2003

** Outstanding Requests:
 * msgid 1,  origid 1, status InProgress
   outstanding referrals 0, parent count 0
** Response Queue:
   Empty
ldap_chkResponseList for msgid=1, all=1
ldap_chkResponseList returns NULL
do_ldap_select
read1msg: msgid 1, all 1
ber_get_next
ber_get_next failed.
ldap_perror
ldap_start_tls: Can't contact LDAP server

В логах сервера:

Apr 19 14:18:18 server slapd[21284]: slapd startup: initiated.
Apr 19 14:18:18 server slapd[21284]: slapd starting
Apr 19 14:18:18 server slapd[21294]: daemon: added 6r
Apr 19 14:18:18 server slapd[21294]: daemon: select: listen=6 
active_threads=0 tvp=NULL
Apr 19 14:18:41 server slapd[21294]: daemon: activity on 1 
descriptors
Apr 19 14:18:41 server slapd[21294]: daemon: new connection on 9
Apr 19 14:18:41 server slapd[21294]: daemon: conn=0 fd=9 
connection from IP=10.1.1.10:32987 (IP=10.1.1.7:636) accepted.
Apr 19 14:18:41 server slapd[21294]: daemon: added 9r
Apr 19 14:18:41 server slapd[21294]: daemon: activity on:
Apr 19 14:18:41 server slapd[21294]:
Apr 19 14:18:41 server slapd[21294]: daemon: select: listen=6 
active_threads=0 tvp=NULL
Apr 19 14:18:41 server slapd[21294]: daemon: activity on 1 
descriptors
Apr 19 14:18:41 server slapd[21294]: daemon: activity on:
Apr 19 14:18:41 server slapd[21294]:  9r
Apr 19 14:18:41 server slapd[21294]:
Apr 19 14:18:41 server slapd[21294]: daemon: read activity on 9
Apr 19 14:18:41 server slapd[21294]: connection_get(9)
Apr 19 14:18:41 server slapd[21294]: connection_get(9): got 
connid=0
Apr 19 14:18:41 server slapd[21294]: connection_read(9): checking 
for input on id=0
Apr 19 14:18:41 server slapd[21294]: connection_read(9): TLS 
accept error error=-1 id=0, closing
Apr 19 14:18:41 server slapd[21294]: connection_closing: readying 
conn=0 sd=9 for close
Apr 19 14:18:41 server slapd[21294]: connection_close: conn=0 
sd=9
Apr 19 14:18:41 server slapd[21294]: daemon: removing 9
Apr 19 14:18:41 server slapd[21294]: conn=-1 fd=9 closed
Apr 19 14:18:41 server slapd[21294]: daemon: select: listen=6 
active_threads=0 tvp=NULL
Apr 19 14:18:41 server slapd[21294]: daemon: activity on 1 
descriptors
Apr 19 14:18:41 server slapd[21294]: daemon: select: listen=6 
active_threads=0 tvp=NULL

Что я делаю не так?

----
Алексей.

Re: [Comm] OpenLDAP и SSL

[Maxim Tyurin]

On Sat, Apr 19, 2003 at 02:53:48PM +1300, Alexey Borovskoy wrote:
> Добрый день.
> 
> Не получается подружить openldap с openssl.
> Без ssl ldap работает нормально. 
> 
> Дано:
> openldap-servers-2.0.27-alt5
> openldap-2.0.27-alt5
> openssl-0.9.6i-alt3
> 
> 1. Генерю сертификат с помощью
> openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem

Есть у меня подозрения что сертификат криво сгенерировался (нет в нем
самого ключа, а только сертификат). В pem 2 секции ?
<scip>
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [Comm] OpenLDAP и SSL

[Alexey Borovskoy]

* 19 Апрель 2003 23:37 Maxim Tyurin <mrkooll@tdr.pibhe.com>

> On Sat, Apr 19, 2003 at 02:53:48PM +1300, Alexey Borovskoy 
wrote:
> > Добрый день.
> >
> > Не получается подружить openldap с openssl.
> > Без ssl ldap работает нормально.
> >
> > Дано:
> > openldap-servers-2.0.27-alt5
> > openldap-2.0.27-alt5
> > openssl-0.9.6i-alt3
> >
> > 1. Генерю сертификат с помощью
> > openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem
>
> Есть у меня подозрения что сертификат криво сгенерировался
> (нет в нем самого ключа, а только сертификат). В pem 2 секции

В файле две секции сертификат и ключ.
Я их даже по отдельности генерил с подписью ключем сертификатора. 
Т.е ca.cert, ldap.private, ldap.cert

В логах проскакивала какая-то 40 ошибка.
Я просто не могу понять где это все дохнет и почему.
Рядом стоит NUT с SSL и работает. 

Вот что говорит тестилка от openssl

[root@server openldap]# openssl s_client -connect 
server.intranet:636 -state

CONNECTED(00000004)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL3 alert read:fatal:handshake failure
SSL_connect:error in SSLv2/v3 read server hello A
24884:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 
alert handshake failure:s23_clnt.c:465:

[root@server openldap]# openssl ciphers -v ALL

DHE-DSS-RC4-SHA         SSLv3 Kx=DH       Au=DSS  Enc=RC4(128)  
Mac=SHA1
EXP1024-DHE-DSS-RC4-SHA SSLv3 Kx=DH(1024) Au=DSS  Enc=RC4(56)   
Mac=SHA1 export
EXP1024-RC4-SHA         SSLv3 Kx=RSA(1024) Au=RSA  Enc=RC4(56)   
Mac=SHA1 export
EXP1024-DHE-DSS-DES-CBC-SHA SSLv3 Kx=DH(1024) Au=DSS  Enc=DES(56)   
Mac=SHA1 export
EXP1024-DES-CBC-SHA     SSLv3 Kx=RSA(1024) Au=RSA  Enc=DES(56)   
Mac=SHA1 export
EXP1024-RC2-CBC-MD5     SSLv3 Kx=RSA(1024) Au=RSA  Enc=RC2(56)   
Mac=MD5  export
EXP1024-RC4-MD5         SSLv3 Kx=RSA(1024) Au=RSA  Enc=RC4(56)   
Mac=MD5  export
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) 
Mac=SHA1
EDH-RSA-DES-CBC-SHA     SSLv3 Kx=DH       Au=RSA  Enc=DES(56)   
Mac=SHA1
EXP-EDH-RSA-DES-CBC-SHA SSLv3 Kx=DH(512)  Au=RSA  Enc=DES(40)   
Mac=SHA1 export
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) 
Mac=SHA1
EDH-DSS-DES-CBC-SHA     SSLv3 Kx=DH       Au=DSS  Enc=DES(56)   
Mac=SHA1
EXP-EDH-DSS-DES-CBC-SHA SSLv3 Kx=DH(512)  Au=DSS  Enc=DES(40)   
Mac=SHA1 export
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) 
Mac=SHA1
DES-CBC-SHA             SSLv3 Kx=RSA      Au=RSA  Enc=DES(56)   
Mac=SHA1
EXP-DES-CBC-SHA         SSLv3 Kx=RSA(512) Au=RSA  Enc=DES(40)   
Mac=SHA1 export
IDEA-CBC-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=IDEA(128) 
Mac=SHA1
EXP-RC2-CBC-MD5         SSLv3 Kx=RSA(512) Au=RSA  Enc=RC2(40)   
Mac=MD5  export
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  
Mac=SHA1
RC4-MD5                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  
Mac=MD5
EXP-RC4-MD5             SSLv3 Kx=RSA(512) Au=RSA  Enc=RC4(40)   
Mac=MD5  export
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) 
Mac=SHA1
ADH-DES-CBC-SHA         SSLv3 Kx=DH       Au=None Enc=DES(56)   
Mac=SHA1
EXP-ADH-DES-CBC-SHA     SSLv3 Kx=DH(512)  Au=None Enc=DES(40)   
Mac=SHA1 export
ADH-RC4-MD5             SSLv3 Kx=DH       Au=None Enc=RC4(128)  
Mac=MD5
EXP-ADH-RC4-MD5         SSLv3 Kx=DH(512)  Au=None Enc=RC4(40)   
Mac=MD5  export
RC4-64-MD5              SSLv2 Kx=RSA      Au=RSA  Enc=RC4(64)   
Mac=MD5
DES-CBC3-MD5            SSLv2 Kx=RSA      Au=RSA  Enc=3DES(168) 
Mac=MD5
DES-CBC-MD5             SSLv2 Kx=RSA      Au=RSA  Enc=DES(56)   
Mac=MD5
IDEA-CBC-MD5            SSLv2 Kx=RSA      Au=RSA  Enc=IDEA(128) 
Mac=MD5
RC2-CBC-MD5             SSLv2 Kx=RSA      Au=RSA  Enc=RC2(128)  
Mac=MD5
EXP-RC2-CBC-MD5         SSLv2 Kx=RSA(512) Au=RSA  Enc=RC2(40)   
Mac=MD5  export
RC4-MD5                 SSLv2 Kx=RSA      Au=RSA  Enc=RC4(128)  
Mac=MD5
EXP-RC4-MD5             SSLv2 Kx=RSA(512) Au=RSA  Enc=RC4(40)   
Mac=MD5  export

Это на клиенте
[alb@alb alb]$ cat /etc/openldap/ldap.conf

# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.4.8.6 
2000/09/05 17:54:38 kurt Exp $
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

base dc=intranet
host server.intranet:636
uri ldaps://server.intranet/
tls_ciphers TLSv1
ssl start_tls
ssl on

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never


Может какие либы не стоят?

----
Алексей.

Re: [Comm] OpenLDAP и SSL

[Igor Muratov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alexey Borovskoy пишет:
| Добрый день.
|
| Не получается подружить openldap с openssl.
| Без ssl ldap работает нормально.
|
| Дано:
| openldap-servers-2.0.27-alt5
| openldap-2.0.27-alt5
| openssl-0.9.6i-alt3
|
| 1. Генерю сертификат с помощью
| openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem
|
| cn прописываю как server.intranet. В DNS все нормально.
|
| 2. Получившийся сертификат кладу в /etc/openldap/
|
| 3. В /etc/openldap/slapd.conf раскоментирую строчки
|  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
|  TLSCertificateFile      /etc/openldap/ldap.pem
|  TLSCertificateKeyFile   /etc/openldap/ldap.pem
|  TLSCACertificateFile    /etc/openldap/ldap.pem
|
| 4. Делаю service ldap start
|
| 5. Делаю netstat -tl
| tcp        0      0 server.intranet:ldaps   *:*     LISTEN
|
| 6. Коннекчусь GQ, прописываю пароль rootdn и получаю ошибку
| Can't contact LDAP server
|
| 7. Беру ldapsearch -ZZ -D "cn=ldapadmin,dc=intranet" -w secret -h
| server.intranet -p 636 -n -v -d 9
|
| получаю

Есть еще подозрение что сервер не подхватил сертификат а на 636 порт
законнектился без всякого ssl.
Попрбуйте зайти туда telnet'ом

|
| ldap_init( server.intranet, 636 )
| ldap_create
| ldap_extended_operation_s
| ldap_extended_operation
| ldap_send_initial_request
| ldap_new_connection
| ldap_int_open_connection
| ldap_connect_to_host: server.intranet
| ldap_new_socket: 3
| ldap_prepare_socket: 3
| ldap_connect_to_host: Trying 10.1.1.7:636
| ldap_connect_timeout: fd: 3 tm: -1 async: 0
| ldap_ndelay_on: 3
| ldap_is_sock_ready: 3
| ldap_ndelay_off: 3
| ldap_open_defconn: successful
| ldap_send_server_request
| ber_flush: 31 bytes to sd 3
| ldap_result msgid 1
| ldap_chkResponseList for msgid=1, all=1
| ldap_chkResponseList returns NULL
| wait4msg (infinite timeout), msgid 1
| wait4msg continue, msgid 1, all 1
| ** Connections:
| * host: server.intranet  port: 636  (default)
|   refcnt: 2  status: Connected
|   last used: Sat Apr 19 14:05:27 2003
|
| ** Outstanding Requests:
|  * msgid 1,  origid 1, status InProgress
|    outstanding referrals 0, parent count 0
| ** Response Queue:
|    Empty
| ldap_chkResponseList for msgid=1, all=1
| ldap_chkResponseList returns NULL
| do_ldap_select
| read1msg: msgid 1, all 1
| ber_get_next
| ber_get_next failed.
| ldap_perror
| ldap_start_tls: Can't contact LDAP server
|
| В логах сервера:
|
| Apr 19 14:18:18 server slapd[21284]: slapd startup: initiated.
| Apr 19 14:18:18 server slapd[21284]: slapd starting
| Apr 19 14:18:18 server slapd[21294]: daemon: added 6r
| Apr 19 14:18:18 server slapd[21294]: daemon: select: listen=6
| active_threads=0 tvp=NULL
| Apr 19 14:18:41 server slapd[21294]: daemon: activity on 1
| descriptors
| Apr 19 14:18:41 server slapd[21294]: daemon: new connection on 9
| Apr 19 14:18:41 server slapd[21294]: daemon: conn=0 fd=9
| connection from IP=10.1.1.10:32987 (IP=10.1.1.7:636) accepted.
| Apr 19 14:18:41 server slapd[21294]: daemon: added 9r
| Apr 19 14:18:41 server slapd[21294]: daemon: activity on:
| Apr 19 14:18:41 server slapd[21294]:
| Apr 19 14:18:41 server slapd[21294]: daemon: select: listen=6
| active_threads=0 tvp=NULL
| Apr 19 14:18:41 server slapd[21294]: daemon: activity on 1
| descriptors
| Apr 19 14:18:41 server slapd[21294]: daemon: activity on:
| Apr 19 14:18:41 server slapd[21294]:  9r
| Apr 19 14:18:41 server slapd[21294]:
| Apr 19 14:18:41 server slapd[21294]: daemon: read activity on 9
| Apr 19 14:18:41 server slapd[21294]: connection_get(9)
| Apr 19 14:18:41 server slapd[21294]: connection_get(9): got
| connid=0
| Apr 19 14:18:41 server slapd[21294]: connection_read(9): checking
| for input on id=0
| Apr 19 14:18:41 server slapd[21294]: connection_read(9): TLS
| accept error error=-1 id=0, closing
| Apr 19 14:18:41 server slapd[21294]: connection_closing: readying
| conn=0 sd=9 for close
| Apr 19 14:18:41 server slapd[21294]: connection_close: conn=0
| sd=9
| Apr 19 14:18:41 server slapd[21294]: daemon: removing 9
| Apr 19 14:18:41 server slapd[21294]: conn=-1 fd=9 closed
| Apr 19 14:18:41 server slapd[21294]: daemon: select: listen=6
| active_threads=0 tvp=NULL
| Apr 19 14:18:41 server slapd[21294]: daemon: activity on 1
| descriptors
| Apr 19 14:18:41 server slapd[21294]: daemon: select: listen=6
| active_threads=0 tvp=NULL
|
| Что я делаю не так?
|
| ----
| Алексей.
| _______________________________________________
| Community mailing list
| Community@altlinux.ru
| http://www.altlinux.ru/mailman/listinfo/community


- --
With best regards                    System administrator
Igor Muratov                         mailto:migor at altlinux.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE+o8Z7qjgjB/MK76QRAq3HAKCgxsRK8fV0+LqEPByIGc/Hm9Id0gCgrUSi
yzNRPb/kqF/xG+iFxsYJQog=
=MGWg
-----END PGP SIGNATURE-----

Re: [Comm] OpenLDAP и SSL

[Alexey Borovskoy]

* 21 Апрель 2003 23:22 Igor Muratov <migor@altlinux.ru>

>
> Есть еще подозрение что сервер не подхватил сертификат а на
> 636 порт законнектился без всякого ssl.
> Попрбуйте зайти туда telnet'ом

Захожу. Черный экран. Затем сервер сбрасывает соединение.
Он должен что-то сказать?

В Гугле пишут, что надо в сертификатах передавать какой-то 
параметр DH. Что это такое я не знаю.

Я думал что я неправильно генерю сертификаты. openssl s_server и 
openssl s_client радостно через них общаются.

Вытащил из Дедала openldap-2.1 поставил, запустил. Через SSL/TLS 
не коннектится. Ошибка та же. И не работает с BDB.
Откатился на openldap-2.0.

Сегодня вытащил свежий stunnel буду дома собирать. Костыль 
конечно, но что делать.

Может общими усилиями локализовать и ликвидировать багу?
Я понимаю, что я один наступил на эти грабли. Но эти грабли 
повторяются на трех инсталляциях openldap на трех разных 
машинах/конфигурациях.

У меня такое ощущение, что при аудите части кода openldap, 
реализующего взаимодействие с ASN.1 что-то очень сильно 
поломали.

Может у кого получилась работоспособная связка
openldap-2.0 + SASL?

----
Алексей.
JID:alb@jabber.ru

Re: [Comm] OpenLDAP и SSL

[Igor Muratov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alexey Borovskoy пишет:
| * 21 Апрель 2003 23:22 Igor Muratov <migor@altlinux.ru>
|
|>Есть еще подозрение что сервер не подхватил сертификат а на
|>636 порт законнектился без всякого ssl.
|>Попрбуйте зайти туда telnet'ом
|
|
| Захожу. Черный экран. Затем сервер сбрасывает соединение.
| Он должен что-то сказать?
|
| В Гугле пишут, что надо в сертификатах передавать какой-то
| параметр DH. Что это такое я не знаю.
|
| Я думал что я неправильно генерю сертификаты. openssl s_server и
| openssl s_client радостно через них общаются.
|
| Вытащил из Дедала openldap-2.1 поставил, запустил. Через SSL/TLS
| не коннектится. Ошибка та же. И не работает с BDB.
| Откатился на openldap-2.0.

А не пробовали брать openldap из более ранних дистрибутивов? К примеру в
спринге это точно работало. В ALM2.0 кажется тоже.

|
| Сегодня вытащил свежий stunnel буду дома собирать. Костыль
| конечно, но что делать.

Может не стоит тратить на это время?

|
| Может общими усилиями локализовать и ликвидировать багу?
| Я понимаю, что я один наступил на эти грабли. Но эти грабли
| повторяются на трех инсталляциях openldap на трех разных
| машинах/конфигурациях.

Тогда уж покажите конфииг полностью.

|
| У меня такое ощущение, что при аудите части кода openldap,
| реализующего взаимодействие с ASN.1 что-то очень сильно
| поломали.
|
| Может у кого получилась работоспособная связка
| openldap-2.0 + SASL?
|
| ----
| Алексей.
| JID:alb@jabber.ru
| _______________________________________________
| Community mailing list
| Community@altlinux.ru
| http://www.altlinux.ru/mailman/listinfo/community


- --
With best regards                    System administrator
Igor Muratov                         mailto:migor at altlinux.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE+pRy2qjgjB/MK76QRAtlaAJwKgI+Gn48I4jbaXMxemf9HqcM8igCbBQ0c
Wcm55F2rhHj/9uZSRGdhiwM=
=Dos8
-----END PGP SIGNATURE-----

Re: [Comm] OpenLDAP и SSL

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 1203 bytes --]

* 22 Апрель 2003 23:43 Igor Muratov <migor@altlinux.ru>

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Alexey Borovskoy пишет:
> | * 21 Апрель 2003 23:22 Igor Muratov <migor@altlinux.ru>
> |
> |>Есть еще подозрение что сервер не подхватил сертификат а на
> |>636 порт законнектился без всякого ssl.
> |>Попрбуйте зайти туда telnet'ом
> |
> | Захожу. Черный экран. Затем сервер сбрасывает соединение.
> | Он должен что-то сказать?

В файле 1.txt результат работы openssl s_client на домашней 
машине.

> А не пробовали брать openldap из более ранних дистрибутивов? К
> примеру в спринге это точно работало. В ALM2.0 кажется тоже.

Да. На Мастере 2.0 это точно работало.

>
> | Сегодня вытащил свежий stunnel буду дома собирать. Костыль
> | конечно, но что делать.
>
> Может не стоит тратить на это время?

Хотелось бы чтобы заработало без костылей.

>
> | Может общими усилиями локализовать и ликвидировать багу?
> | Я понимаю, что я один наступил на эти грабли. Но эти грабли
> | повторяются на трех инсталляциях openldap на трех разных
> | машинах/конфигурациях.
>
> Тогда уж покажите конфииг полностью.

Какие именно?
К письму приложил slapd.conf и сертификат

----
Алексей.
JID:alb@jabber.ru

[-- Attachment #2: 1.txt --]
[-- Type: text/plain, Size: 1004 bytes --]

[alb@alb 2]$ openssl s_client -connect alb.home:636 -debug
CONNECTED(00000004)
write to 0809BEB8 [0809BF00] (130 bytes => 130 (0x82))
0000 - 80 80 01 03 01 00 57 00-00 00 20 00 00 16 00 00   ......W... .....
0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 07 00 00 05   .........f......
0020 - 00 00 04 05 00 80 03 00-80 01 00 80 08 00 80 00   ................
0030 - 00 65 00 00 64 00 00 63-00 00 62 00 00 61 00 00   .e..d..c..b..a..
0040 - 60 00 00 15 00 00 12 00-00 09 06 00 40 00 00 14   `...........@...
0050 - 00 00 11 00 00 08 00 00-06 00 00 03 04 00 80 02   ................
0060 - 00 80 aa dd 8f a3 ad c5-70 56 63 2c 43 16 f6 1c   ........pVc,C...
0070 - dd 82 3a 80 cf 8d b0 f4-67 94 e4 cb c0 4f cc 61   ..:.....g....O.a
0080 - 27 ad                                             '.
read from 0809BEB8 [080A1460] (7 bytes => 7 (0x7))
0000 - 15 03 01 00 02 02 28                              ......(
2140:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:465:

[-- Attachment #3: ldap.pem --]
[-- Type: application/x-x509-ca-cert, Size: 2909 bytes --]

[-- Attachment #4: slapd.conf --]
[-- Type: text/x-csrc, Size: 5458 bytes --]

# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.8.8.7 2001/09/27 20:00:31 kurt Exp $
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
# Modified by Christian Zoffoli <czoffoli@linux-mandrake.com>
# Version 0.2
# 
# Modified by Volkov Serge <vserge@altlinux.ru>
# Version 0.3
# Last modification at 26 Jun 2002
#

# Default schemas
include	/etc/openldap/schema/core.schema
include	/etc/openldap/schema/cosine.schema
include	/etc/openldap/schema/inetorgperson.schema
include	/etc/openldap/schema/misc.schema
include	/etc/openldap/schema/nis.schema
include	/etc/openldap/schema/openldap.schema 
#include	/etc/openldap/schema/krb5-kdc.schema
#include	/etc/openldap/schema/kerberosobject.schema
#include	/etc/openldap/schema/corba.schema 
#include	/etc/openldap/schema/java.schema 

# Addon schemas
#include	/etc/openldap/schema/rfc822-MailMember.schema
#include	/etc/openldap/schema/pilot.schema
#include	/etc/openldap/schema/autofs.schema
#include	/etc/openldap/schema/samba.schema
#include	/etc/openldap/schema/qmail.schema
#include	/etc/openldap/schema/qmailControl.schema
#include	/etc/openldap/schema/cron.schema
#include	/etc/openldap/schema/dns.schema
#include	/etc/openldap/schema/trust.schema
#include	/etc/openldap/schema/turbo.schema

# Netscape Roaming
#include	/etc/openldap/schema/mull.schema
#include	/etc/openldap/schema/netscape-profile.schema

# Local schema, that you will be constract 
#include	/etc/openldap/schema/local.schema

# Load dynamic backend modules:
#modulepath	/usr/lib/openldap
#moduleload	back_bdb.la
# moduleload	back_ldap.la
#moduleload	back_ldbm.la
# moduleload	back_passwd.la
# moduleload	back_shell.la

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral	ldap://root.openldap.org

pidfile		/var/run/slapd.pid
argsfile	/var/run/slapd.args

# To allow TLS-enabled connections, create /usr/share/ssl/certs/slapd.pem
# and uncomment the following lines.
 TLSCipherSuite          HIGH:MEDIUM:LOW:+SSLv2
 TLSCertificateFile      /etc/openldap/ldap.pem
 TLSCertificateKeyFile   /etc/openldap/ldap.pem
# TLSCACertificateFile    /etc/openldap/ldap.pem


# Define global ACLs to disable default read access.
#include 	/etc/openldap/slapd.access.conf

#
# Sample Access Control
#	Allow read access of root DSE
#	Allow self write access
#	Allow authenticated users read access
#	Allow anonymous users to authenticate
#
#access to dn="" by * read
#access to *
#	by self write
#	by users read
#	by anonymous auth
#
# if no access controls are present, the default is:
#	Allow read by all
#
# rootdn can always write!

# The example in development not use if you don't known what are you doing!!!
# Basic ACL
# access to attr=userPassword
#         by self write
#         by anonymous auth
#         by dn="uid=root,ou=People,dc=example,dc=com" write
#         by * none
#  
# access to *
#         by dn="uid=root,ou=People,dc=example,dc=com" write
#         by * read



#######################################################################
# ldbm database definitions
#######################################################################

database	ldbm
suffix          "dc=intranet"
rootdn          "cn=ldapadmin,dc=intranet"

# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw	secret
#rootpw	{crypt}ijFYNcSNctBYg

# The database directory MUST exist prior to running slapd AND 
# should only be accessible by the slapd/tools. Mode 700 recommended.
directory	/var/lib/ldap/bases/intranet

# LogLevel information
# if you want enable debuggin mode
# choose one of the next
# and check /etc/syslog.conf for line
# "LOCAL4.*	/var/log/ldap/log" exist
# ---------------------------------------------------
# |	-1	|	enable all debugging
# |	0	|	no debugging
# |	1	|	trace function calls
# |	2	|	debug packet handling
# |	4	|	heavy trace debugging
# |	8	|	connection management
# |	16	|	print out packets sent and received
# |	32	|	search filter processing
# |	64	|	configuration file processing
# |	128	|	access control list processing
# | 256	|	stats log connections/operations/results
# |	512	|	stats log entries sent
# | 1024|	print communication with shell backends
# | 2048|	print entry parsing debugging
# ---------------------------------------------------
loglevel -1

# Indices to maintain
#index	objectClass	eq
index objectClass,uid,uidNumber,gidNumber     eq
index cn,mail,surname,givenname               eq,subinitial


# Sample security restrictions
#
#   Disallow clear text exchange of passwords
# disallow bind_simple_unprotected
#
#	Require integrity protection (prevent hijacking)
#	Require 112-bit (3DES or better) encryption for updates
#	Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#	Root DSE: allow anyone to read it
#	Subschema (sub)entry DSE: allow anyone to read it
#	Other DSEs:
#		Allow self write access
#		Allow authenticated users read access
#		Allow anonymous users to authenticate
#	Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#	by self write
#	by users read
#	by anonymous auth
#
# if no access controls are present, the default policy is:
#	Allow read by all
#
# rootdn can always write!

Re: [Comm] OpenLDAP и SSL

[Dmitry Lebkov]

On Sat, 19 Apr 2003 14:53:48 +1300
Alexey Borovskoy <alexey_borovskoy@pochtamt.ru> wrote:

> Добрый день.
> 
> Не получается подружить openldap с openssl.
> Без ssl ldap работает нормально. 
> 
> Дано:
> openldap-servers-2.0.27-alt5
> openldap-2.0.27-alt5
> openssl-0.9.6i-alt3
> 
> 1. Генерю сертификат с помощью
> openssl req -new -x509 -nodes -out ldap.pem -keyout ldap.pem
> 
> cn прописываю как server.intranet. В DNS все нормально.

Имя 'server.intranet' присутствует в ДНС? И в обратной зоне?
cn в сертификате должно совпадать с DNS-именем, соответствущем
ip-адресу, на котором слушает LDAP-сервер. 

> 2. Получившийся сертификат кладу в /etc/openldap/
> 
> 3. В /etc/openldap/slapd.conf раскоментирую строчки
>  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
>  TLSCertificateFile      /etc/openldap/ldap.pem
>  TLSCertificateKeyFile   /etc/openldap/ldap.pem
>  TLSCACertificateFile    /etc/openldap/ldap.pem
> 
> 4. Делаю service ldap start
> 
> 5. Делаю netstat -tl
> tcp        0      0 server.intranet:ldaps   *:*     LISTEN
> 
> 6. Коннекчусь GQ, прописываю пароль rootdn и получаю ошибку
> Can't contact LDAP server

GQ использует TLS. Т.е. тебе в конфиге надо указать порт 389
и поствить галку 'Enable TLS'.

У меня так (через TLS на 389 порту) работает 3 сервера (мастер
и две реплики), GQ, nss_ldap и Courier-IMAP.

Вот ... %)

-- 
WBR, Dmitry Lebkov

Re: [Comm] OpenLDAP и SSL

[Alexey Borovskoy]

* 23 Апрель 2003 11:30 Dmitry Lebkov <dima@sakhalin.ru>

> On Sat, 19 Apr 2003 14:53:48 +1300
>
> > cn прописываю как server.intranet. В DNS все нормально.
>
> Имя 'server.intranet' присутствует в ДНС? И в обратной зоне?
> cn в сертификате должно совпадать с DNS-именем, соответствущем
> ip-адресу, на котором слушает LDAP-сервер.

Да, присутствует.

>
> > 2. Получившийся сертификат кладу в /etc/openldap/
> >
> > 3. В /etc/openldap/slapd.conf раскоментирую строчки
> >  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
> >  TLSCertificateFile      /etc/openldap/ldap.pem
> >  TLSCertificateKeyFile   /etc/openldap/ldap.pem
> >  TLSCACertificateFile    /etc/openldap/ldap.pem
> >
> > 4. Делаю service ldap start
> >
> > 5. Делаю netstat -tl
> > tcp        0      0 server.intranet:ldaps   *:*     LISTEN
> >
> > 6. Коннекчусь GQ, прописываю пароль rootdn и получаю ошибку
> > Can't contact LDAP server
>
> GQ использует TLS. Т.е. тебе в конфиге надо указать порт 389
> и поствить галку 'Enable TLS'.
>

Указал. коннекчусь. получаю
SSL23_GET_SERVERHELLO:ssl handshake failure

> У меня так (через TLS на 389 порту) работает 3 сервера (мастер
> и две реплики), GQ, nss_ldap и Courier-IMAP.
>
> Вот ... %)

Может дело в сертификате?

----
Алексей.

Re: [Comm] OpenLDAP и SSL

[Alexey Borovskoy]

* 23 Апрель 2003 11:30 Dmitry Lebkov <dima@sakhalin.ru>

> On Sat, 19 Apr 2003 14:53:48 +1300
>
> Alexey Borovskoy <alexey_borovskoy@pochtamt.ru> wrote:

> > 3. В /etc/openldap/slapd.conf раскоментирую строчки
> >  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
> >  TLSCertificateFile      /etc/openldap/ldap.pem
> >  TLSCertificateKeyFile   /etc/openldap/ldap.pem
> >  TLSCACertificateFile    /etc/openldap/ldap.pem

сюда приписал еще TLSClientVerify 0

> >
> > 4. Делаю service ldap start
> >
> > 5. Делаю netstat -tl
> > tcp        0      0 server.intranet:ldaps   *:*     LISTEN

Здесь видно ldaps и ldap

----
Алексей.

Re: [Comm] OpenLDAP и SSL

[Dmitry Lebkov]

On Wed, 23 Apr 2003 15:17:49 +1300
Alexey Borovskoy <alexey_borovskoy@pochtamt.ru> wrote:

> * 23 Апрель 2003 11:30 Dmitry Lebkov <dima@sakhalin.ru>
> 
> > On Sat, 19 Apr 2003 14:53:48 +1300
> >
> > Alexey Borovskoy <alexey_borovskoy@pochtamt.ru> wrote:
> 
> > > 3. В /etc/openldap/slapd.conf раскоментирую строчки
> > >  TLSCipherSuite         HIGH:MEDIUM:+SSLv2
> > >  TLSCertificateFile      /etc/openldap/ldap.pem
> > >  TLSCertificateKeyFile   /etc/openldap/ldap.pem
> > >  TLSCACertificateFile    /etc/openldap/ldap.pem
> 
> сюда приписал еще TLSClientVerify 0

У меня работает с теми параметрами, которые в конфиге по-умолчанию
закоментарены.

> 
> > >
> > > 4. Делаю service ldap start
> > >
> > > 5. Делаю netstat -tl
> > > tcp        0      0 server.intranet:ldaps   *:*     LISTEN
> 
> Здесь видно ldaps и ldap

А соеднияться с использованием TLS ты пытаешся на какой порт?


-- 
WBR, Dmitry Lebkov

Re: [Comm] OpenLDAP и SSL

[Alexey Borovskoy]

* 23 Апрель 2003 15:33 Dmitry Lebkov <dima@sakhalin.ru>

> On Wed, 23 Apr 2003 15:17:49 +1300
>

Все. Проблема решена.
В slapd.conf в конце каждой строки нажал Enter.
После этого все заработало.
Шаманство.

----
Алексей.

Re: [Comm] OpenLDAP и SSL

[Igor Muratov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alexey Borovskoy пишет:
| * 22 Апрель 2003 23:43 Igor Muratov <migor@altlinux.ru>
|
|>-----BEGIN PGP SIGNED MESSAGE-----
|>Hash: SHA1
|>
|>Alexey Borovskoy пишет:
|>| * 21 Апрель 2003 23:22 Igor Muratov <migor@altlinux.ru>
|>|
|>|>Есть еще подозрение что сервер не подхватил сертификат а на
|>|>636 порт законнектился без всякого ssl.
|>|>Попрбуйте зайти туда telnet'ом
|>|
|>| Захожу. Черный экран. Затем сервер сбрасывает соединение.
|>| Он должен что-то сказать?
|
|
| В файле 1.txt результат работы openssl s_client на домашней
| машине.
|
|
|>А не пробовали брать openldap из более ранних дистрибутивов? К
|>примеру в спринге это точно работало. В ALM2.0 кажется тоже.
|
|
| Да. На Мастере 2.0 это точно работало.
|
|
|>| Сегодня вытащил свежий stunnel буду дома собирать. Костыль
|>| конечно, но что делать.
|>
|>Может не стоит тратить на это время?
|
|
| Хотелось бы чтобы заработало без костылей.
|
|
|>| Может общими усилиями локализовать и ликвидировать багу?
|>| Я понимаю, что я один наступил на эти грабли. Но эти грабли
|>| повторяются на трех инсталляциях openldap на трех разных
|>| машинах/конфигурациях.
|>
|>Тогда уж покажите конфииг полностью.
|
|
| Какие именно?
| К письму приложил slapd.conf и сертификат
|
| ----
| Алексей.
| JID:alb@jabber.ru
|
|
| ------------------------------------------------------------------------
|
| [alb@alb 2]$ openssl s_client -connect alb.home:636 -debug
| CONNECTED(00000004)
| write to 0809BEB8 [0809BF00] (130 bytes => 130 (0x82))
| 0000 - 80 80 01 03 01 00 57 00-00 00 20 00 00 16 00 00   ......W... .....
| 0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 07 00 00 05   .........f......
| 0020 - 00 00 04 05 00 80 03 00-80 01 00 80 08 00 80 00   ................
| 0030 - 00 65 00 00 64 00 00 63-00 00 62 00 00 61 00 00   .e..d..c..b..a..
| 0040 - 60 00 00 15 00 00 12 00-00 09 06 00 40 00 00 14   `...........@...
| 0050 - 00 00 11 00 00 08 00 00-06 00 00 03 04 00 80 02   ................
| 0060 - 00 80 aa dd 8f a3 ad c5-70 56 63 2c 43 16 f6 1c   ........pVc,C...
| 0070 - dd 82 3a 80 cf 8d b0 f4-67 94 e4 cb c0 4f cc 61   ..:.....g....O.a
| 0080 - 27 ad                                             '.
| read from 0809BEB8 [080A1460] (7 bytes => 7 (0x7))
| 0000 - 15 03 01 00 02 02 28                              ......(
| 2140:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert
handshake failure:s23_clnt.c:465:
|
|
| ------------------------------------------------------------------------
|
| # $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.8.8.7 2001/09/27
20:00:31 kurt Exp $
| #
| # See slapd.conf(5) for details on configuration options.
| # This file should NOT be world readable.
| #
| # Modified by Christian Zoffoli <czoffoli@linux-mandrake.com>
| # Version 0.2
| #
| # Modified by Volkov Serge <vserge@altlinux.ru>
| # Version 0.3
| # Last modification at 26 Jun 2002
| #
|
| # Default schemas
| include	/etc/openldap/schema/core.schema
| include	/etc/openldap/schema/cosine.schema
| include	/etc/openldap/schema/inetorgperson.schema
| include	/etc/openldap/schema/misc.schema
| include	/etc/openldap/schema/nis.schema
| include	/etc/openldap/schema/openldap.schema
| #include	/etc/openldap/schema/krb5-kdc.schema
| #include	/etc/openldap/schema/kerberosobject.schema
| #include	/etc/openldap/schema/corba.schema
| #include	/etc/openldap/schema/java.schema
|
| # Addon schemas
| #include	/etc/openldap/schema/rfc822-MailMember.schema
| #include	/etc/openldap/schema/pilot.schema
| #include	/etc/openldap/schema/autofs.schema
| #include	/etc/openldap/schema/samba.schema
| #include	/etc/openldap/schema/qmail.schema
| #include	/etc/openldap/schema/qmailControl.schema
| #include	/etc/openldap/schema/cron.schema
| #include	/etc/openldap/schema/dns.schema
| #include	/etc/openldap/schema/trust.schema
| #include	/etc/openldap/schema/turbo.schema
|
| # Netscape Roaming
| #include	/etc/openldap/schema/mull.schema
| #include	/etc/openldap/schema/netscape-profile.schema
|
| # Local schema, that you will be constract
| #include	/etc/openldap/schema/local.schema
|
| # Load dynamic backend modules:
| #modulepath	/usr/lib/openldap
| #moduleload	back_bdb.la
| # moduleload	back_ldap.la
| #moduleload	back_ldbm.la
| # moduleload	back_passwd.la
| # moduleload	back_shell.la
|
| # Do not enable referrals until AFTER you have a working directory
| # service AND an understanding of referrals.
| #referral	ldap://root.openldap.org
|
| pidfile		/var/run/slapd.pid
| argsfile	/var/run/slapd.args
|
| # To allow TLS-enabled connections, create /usr/share/ssl/certs/slapd.pem
| # and uncomment the following lines.
|  TLSCipherSuite          HIGH:MEDIUM:LOW:+SSLv2
|  TLSCertificateFile      /etc/openldap/ldap.pem
|  TLSCertificateKeyFile   /etc/openldap/ldap.pem
Проблема похоже вот здесь. Предшествующих пробелов быть не дожно
Вот выдержка из /etc/init.d/ldap
if grep -qs ^TLS "$CONFIG"; then
~   daemon ${SLAPD} -u ldap -h '"ldap:/// ldaps:///"' $OPTIONS
$SLAPD_OPTIONS
~        RETVAL=$?
~    else
~        daemon ${SLAPD} -u ldap -h 'ldap://127.0.0.1/' $OPTIONS
$SLAPD_OPTIONS
~        RETVAL=$?
~    fi



| # TLSCACertificateFile    /etc/openldap/ldap.pem
|
|
| # Define global ACLs to disable default read access.
| #include 	/etc/openldap/slapd.access.conf
|
| #
| # Sample Access Control
| #	Allow read access of root DSE
| #	Allow self write access
| #	Allow authenticated users read access
| #	Allow anonymous users to authenticate
| #
| #access to dn="" by * read
| #access to *
| #	by self write
| #	by users read
| #	by anonymous auth
| #
| # if no access controls are present, the default is:
| #	Allow read by all
| #
| # rootdn can always write!
|
| # The example in development not use if you don't known what are you
doing!!!
| # Basic ACL
| # access to attr=userPassword
| #         by self write
| #         by anonymous auth
| #         by dn="uid=root,ou=People,dc=example,dc=com" write
| #         by * none
| #
| # access to *
| #         by dn="uid=root,ou=People,dc=example,dc=com" write
| #         by * read
|
|
|
| #######################################################################
| # ldbm database definitions
| #######################################################################
|
| database	ldbm
| suffix          "dc=intranet"
| rootdn          "cn=ldapadmin,dc=intranet"
|
| # Cleartext passwords, especially for the rootdn, should
| # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
| # Use of strong authentication encouraged.
| rootpw	secret
| #rootpw	{crypt}ijFYNcSNctBYg
|
| # The database directory MUST exist prior to running slapd AND
| # should only be accessible by the slapd/tools. Mode 700 recommended.
| directory	/var/lib/ldap/bases/intranet
|
| # LogLevel information
| # if you want enable debuggin mode
| # choose one of the next
| # and check /etc/syslog.conf for line
| # "LOCAL4.*	/var/log/ldap/log" exist
| # ---------------------------------------------------
| # |	-1	|	enable all debugging
| # |	0	|	no debugging
| # |	1	|	trace function calls
| # |	2	|	debug packet handling
| # |	4	|	heavy trace debugging
| # |	8	|	connection management
| # |	16	|	print out packets sent and received
| # |	32	|	search filter processing
| # |	64	|	configuration file processing
| # |	128	|	access control list processing
| # | 256	|	stats log connections/operations/results
| # |	512	|	stats log entries sent
| # | 1024|	print communication with shell backends
| # | 2048|	print entry parsing debugging
| # ---------------------------------------------------
| loglevel -1
|
| # Indices to maintain
| #index	objectClass	eq
| index objectClass,uid,uidNumber,gidNumber     eq
| index cn,mail,surname,givenname               eq,subinitial
|
|
| # Sample security restrictions
| #
| #   Disallow clear text exchange of passwords
| # disallow bind_simple_unprotected
| #
| #	Require integrity protection (prevent hijacking)
| #	Require 112-bit (3DES or better) encryption for updates
| #	Require 63-bit encryption for simple bind
| # security ssf=1 update_ssf=112 simple_bind=64
|
| # Sample access control policy:
| #	Root DSE: allow anyone to read it
| #	Subschema (sub)entry DSE: allow anyone to read it
| #	Other DSEs:
| #		Allow self write access
| #		Allow authenticated users read access
| #		Allow anonymous users to authenticate
| #	Directives needed to implement policy:
| # access to dn.base="" by * read
| # access to dn.base="cn=Subschema" by * read
| # access to *
| #	by self write
| #	by users read
| #	by anonymous auth
| #
| # if no access controls are present, the default policy is:
| #	Allow read by all
| #
| # rootdn can always write!
|


- --
With best regards                    System administrator
Igor Muratov                         mailto:migor at altlinux.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE+to6HqjgjB/MK76QRAoqkAJ90cpsx3b4kSWGA19YEFbH1vFGQMgCdGmbV
HeJevYGof1M1EjXZBM5ETus=
=bIKe
-----END PGP SIGNATURE-----