From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Jan 2003 16:07:17 +0300 From: "Peter V. Saveliev" To: sisyphus@altlinux.ru Message-Id: <20030107160717.4dcb38a8.peet@eltel.net> Organization: JSC Eltel X-Mailer: Sylpheed version 0.8.6 (GTK+ 1.2.10; i586-alt-linux) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [sisyphus] LDAP =?KOI8-R?B?3sXSxdo=?= SSL, =?KOI8-R?B?ydPQz8zY2s/Xwc7JxSDEzA==?= =?KOI8-R?B?0Q==?= AAA. Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: ... Всем привет! Настроил хождение LDAP через SSL, теперь происходит странное: [peet@kehlisaari peet]$ sudo su - Password: Broken pipe [peet@kehlisaari peet]$ sudo su - [root@kehlisaari root]# Повторяемость - 100% при вводе пароля (после таймаута). В /var/log/secure: Jan 7 15:27:21 kehlisaari sudo: peet : TTY=pts/4 ; PWD=/home/peet ; USER=root ; COMMAND=/bin/su - Jan 7 15:27:21 kehlisaari (__progname="sudo" uid=0 euid=0): nss_ldap: reconnecting to LDAP server... Jan 7 15:27:21 kehlisaari : nss_ldap: reconnected to LDAP server after 1 attempt(s) Все это происходит на всех машинах, использующих LDAPS в качестве AAA-сервера. sudo-1.6.6-alt4 nss_ldap-202-alt2 openldap-clients-2.0.27-alt3 libldap-2.0.27-alt3 openldap-servers-2.0.27-alt3 openldap-2.0.27-alt3 Без SSL этого не происходило. 8<------- /etc/openldap/slapd.conf --------------------------------------- ... TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCertificateFile /etc/openldap/ssl/server.crt TLSCertificateKeyFile /etc/openldap/ssl/server.key TLSCACertificateFile /etc/openssl/sign/ca.crt ... 8<------- /etc/openldap/slapd.conf --------------------------------------- 8<------- /etc/ldap.conf ------------------------------------------------- host ldap.home uri ldaps://ldap.home/ base dc=kehlisaari,dc=home rootbinddn cn=proxyuser,dc=kehlisaari,dc=home scope one pam_filter objectClass=posixAccount pam_login_attribute uid pam_member_attribute gid pam_template_login_attribute uid pam_password md5 nss_base_passwd ou=users,dc=kehlisaari,dc=home?one nss_base_shadow ou=users,dc=kehlisaari,dc=home?one nss_base_group ou=groups,dc=kehlisaari,dc=home?one nss_base_hosts ou=hosts,dc=kehlisaari,dc=home?one tls_checkpeer yes tls_cacertfile /etc/openssl/sign/ca.crt tls_ciphers TLSv1 8<------- /etc/ldap.conf ------------------------------------------------- Как обычно: ищу мудрости у коллективного разума рассылки. Вразумите, пожалуйста, т.к. хотя и работает нормально в остальном, и через SSL (проверял через tcpdump :), но я не все детали понимаю. Настраивал интуитивно :) Вопрос к знатокам: если кто работал с LDAP в качестве AAA-сервера, буду безумно рад пообсуждать в привате некоторые вопросы "про это" :)) Уж очень порой интересно. Отзовитесь, pls. -- Sincerely, Peter V. Saveliev E-mail: peet@eltel.net Jabber: peet@jabber.ru