* [sisyphus] LDAP через SSL, использование для AAA.
@ 2003-01-07 13:07 Peter V. Saveliev
2003-01-07 14:25 ` Dmitry V. Levin
2003-01-08 7:12 ` Denis S. Filimonov
0 siblings, 2 replies; 5+ messages in thread
From: Peter V. Saveliev @ 2003-01-07 13:07 UTC (permalink / raw)
To: sisyphus
...
Всем привет!
Настроил хождение LDAP через SSL, теперь происходит странное:
[peet@kehlisaari peet]$ sudo su -
Password:
Broken pipe
[peet@kehlisaari peet]$ sudo su -
[root@kehlisaari root]#
Повторяемость - 100% при вводе пароля (после таймаута). В /var/log/secure:
Jan 7 15:27:21 kehlisaari sudo: peet : TTY=pts/4 ; PWD=/home/peet ; USER=root ; COMMAND=/bin/su -
Jan 7 15:27:21 kehlisaari (__progname="sudo" uid=0 euid=0): nss_ldap: reconnecting to LDAP server...
Jan 7 15:27:21 kehlisaari : nss_ldap: reconnected to LDAP server after 1 attempt(s)
Все это происходит на всех машинах, использующих LDAPS в качестве
AAA-сервера.
sudo-1.6.6-alt4
nss_ldap-202-alt2
openldap-clients-2.0.27-alt3
libldap-2.0.27-alt3
openldap-servers-2.0.27-alt3
openldap-2.0.27-alt3
Без SSL этого не происходило.
8<------- /etc/openldap/slapd.conf ---------------------------------------
...
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCertificateFile /etc/openldap/ssl/server.crt
TLSCertificateKeyFile /etc/openldap/ssl/server.key
TLSCACertificateFile /etc/openssl/sign/ca.crt
...
8<------- /etc/openldap/slapd.conf ---------------------------------------
8<------- /etc/ldap.conf -------------------------------------------------
host ldap.home
uri ldaps://ldap.home/
base dc=kehlisaari,dc=home
rootbinddn cn=proxyuser,dc=kehlisaari,dc=home
scope one
pam_filter objectClass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
pam_template_login_attribute uid
pam_password md5
nss_base_passwd ou=users,dc=kehlisaari,dc=home?one
nss_base_shadow ou=users,dc=kehlisaari,dc=home?one
nss_base_group ou=groups,dc=kehlisaari,dc=home?one
nss_base_hosts ou=hosts,dc=kehlisaari,dc=home?one
tls_checkpeer yes
tls_cacertfile /etc/openssl/sign/ca.crt
tls_ciphers TLSv1
8<------- /etc/ldap.conf -------------------------------------------------
Как обычно: ищу мудрости у коллективного разума рассылки. Вразумите,
пожалуйста, т.к. хотя и работает нормально в остальном, и через SSL
(проверял через tcpdump :), но я не все детали понимаю. Настраивал
интуитивно :)
Вопрос к знатокам: если кто работал с LDAP в качестве AAA-сервера, буду
безумно рад пообсуждать в привате некоторые вопросы "про это" :)) Уж очень
порой интересно. Отзовитесь, pls.
--
Sincerely, Peter V. Saveliev
E-mail: peet@eltel.net
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] LDAP через SSL, использование для AAA.
2003-01-07 13:07 [sisyphus] LDAP через SSL, использование для AAA Peter V. Saveliev
@ 2003-01-07 14:25 ` Dmitry V. Levin
2003-01-07 18:28 ` Peter V. Saveliev
2003-01-09 12:00 ` vserge
2003-01-08 7:12 ` Denis S. Filimonov
1 sibling, 2 replies; 5+ messages in thread
From: Dmitry V. Levin @ 2003-01-07 14:25 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 365 bytes --]
On Tue, Jan 07, 2003 at 04:07:17PM +0300, Peter V. Saveliev wrote:
[...]
> Jan 7 15:27:21 kehlisaari sudo: peet : TTY=pts/4 ; PWD=/home/peet ; USER=root ; COMMAND=/bin/su -
> Jan 7 15:27:21 kehlisaari (__progname="sudo" uid=0 euid=0): nss_ldap: reconnecting to LDAP server...
nss_ldap начал протоколирование до вызова openlog(3), что есть нехорошо.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] LDAP через SSL, использование для AAA.
2003-01-07 14:25 ` Dmitry V. Levin
@ 2003-01-07 18:28 ` Peter V. Saveliev
2003-01-09 12:00 ` vserge
1 sibling, 0 replies; 5+ messages in thread
From: Peter V. Saveliev @ 2003-01-07 18:28 UTC (permalink / raw)
To: sisyphus
On Tue, 7 Jan 2003 17:25:01 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:
> On Tue, Jan 07, 2003 at 04:07:17PM +0300, Peter V. Saveliev wrote:
> [...]
> > Jan 7 15:27:21 kehlisaari sudo: peet : TTY=pts/4 ; PWD=/home/peet ; USER=root ; COMMAND=/bin/su -
> > Jan 7 15:27:21 kehlisaari (__progname="sudo" uid=0 euid=0): nss_ldap: reconnecting to LDAP server...
>
> nss_ldap начал протоколирование до вызова openlog(3), что есть нехорошо.
>
>
> --
> ldv
>
O. Полезу смотреть. Может, заодно и в баги это?
--
Sincerely, Peter V. Saveliev
E-mail: peet@eltel.net
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] LDAP через SSL, использование для AAA.
2003-01-07 14:25 ` Dmitry V. Levin
2003-01-07 18:28 ` Peter V. Saveliev
@ 2003-01-09 12:00 ` vserge
1 sibling, 0 replies; 5+ messages in thread
From: vserge @ 2003-01-09 12:00 UTC (permalink / raw)
To: sisyphus
Добрый день
Это есть хорошо читайте changelog к пакету nss_ldap
Это связано с http://bugs.altlinux.ru/view_bug_advanced_page.php?f_id=0001010
программа собрана со включеной отладочной информацией.
Если в ближайщие дни не поступит сообщений об ошибках или будут очень сильно
жаловаться те, кто его ставит я пересоберу без этой опции!!!
Вы написали "Dmitry V. Levin" <ldv@altlinux.org> Tue, 7 Jan 2003 17:25:01
+0300:
> On Tue, Jan 07, 2003 at 04:07:17PM +0300, Peter V. Saveliev wrote:
> [...]
> > Jan 7 15:27:21 kehlisaari sudo: peet : TTY=pts/4 ; PWD=/home/peet ;
> > USER=root ; COMMAND=/bin/su - Jan 7 15:27:21 kehlisaari
> > (__progname="sudo" uid=0 euid=0): nss_ldap: reconnecting to LDAP server...
>
> nss_ldap начал протоколирование до вызова openlog(3), что есть нехорошо.
Я это проверю Дима.
сообщите об этом в BTS с указанием версии пожалуйста.
--
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] LDAP через SSL, использование для AAA.
2003-01-07 13:07 [sisyphus] LDAP через SSL, использование для AAA Peter V. Saveliev
2003-01-07 14:25 ` Dmitry V. Levin
@ 2003-01-08 7:12 ` Denis S. Filimonov
1 sibling, 0 replies; 5+ messages in thread
From: Denis S. Filimonov @ 2003-01-08 7:12 UTC (permalink / raw)
To: sisyphus
7 Январь 2003 19:07, Peter V. Saveliev написал:
> 8<------- /etc/ldap.conf
> ------------------------------------------------- host ldap.home
> uri ldaps://ldap.home/
> base dc=kehlisaari,dc=home
> rootbinddn cn=proxyuser,dc=kehlisaari,dc=home
> scope one
>
> pam_filter objectClass=posixAccount
> pam_login_attribute uid
> pam_member_attribute gid
> pam_template_login_attribute uid
> pam_password md5
>
> nss_base_passwd ou=users,dc=kehlisaari,dc=home?one
> nss_base_shadow ou=users,dc=kehlisaari,dc=home?one
> nss_base_group ou=groups,dc=kehlisaari,dc=home?one
> nss_base_hosts ou=hosts,dc=kehlisaari,dc=home?one
>
> tls_checkpeer yes
> tls_cacertfile /etc/openssl/sign/ca.crt
> tls_ciphers TLSv1
> 8<------- /etc/ldap.conf
попробуйте добавить эти две строчки в /etc/ldap.conf
ssl start_tls
ssl on
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-01-09 12:00 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-01-07 13:07 [sisyphus] LDAP через SSL, использование для AAA Peter V. Saveliev
2003-01-07 14:25 ` Dmitry V. Levin
2003-01-07 18:28 ` Peter V. Saveliev
2003-01-09 12:00 ` vserge
2003-01-08 7:12 ` Denis S. Filimonov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git