* [Comm] TLS SSL @ 2005-04-18 11:23 Anton Gorlov 2005-04-18 12:03 ` Anton Gorlov 0 siblings, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 11:23 UTC (permalink / raw) To: community Здравствуйте, community. Хм... сгенерил сертефикат с помощью openssl. Пописал его в настройках лдапа TLSCertificateFile /etc/openldap/ssl/slapd.pem TLSCertificateKeyFile /etc/openldap/ssl/slapd.pem TLSVerifyClient never попытался его запустить и получил незапускаемость лдапа: openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out slapd.pem -keyout slapd.pem slapd.cnf [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] C=RU ST=Russia L=Linux O=Linux LDAP OU=LDAP SSL Key CN=rcc.com.ru emailAddress=gorlov@bla-bla.bla [ cert_type ] nsCertType = server [root@ring openldap]# service slapd start Checking slapd configuration [ DONE ] Adjusting environment for slapd: [ DONE ] Starting slapd service: [FAILED] В логах при этом ничего не нашёл. -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 11:23 [Comm] TLS SSL Anton Gorlov @ 2005-04-18 12:03 ` Anton Gorlov 2005-04-18 12:19 ` Nikolay A. Fetisov 0 siblings, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 12:03 UTC (permalink / raw) To: community Здравствуйте, Anton. Вы писали 18 апреля 2005 г., 15:23:22: > Хм... сгенерил сертефикат с помощью openssl. Пописал его в настройках > лдапа > TLSCertificateFile /etc/openldap/ssl/slapd.pem > TLSCertificateKeyFile /etc/openldap/ssl/slapd.pem > TLSVerifyClient never Кажется я почти понял в чём дело --если запускать не как service slpad start, а скажем как slapd -h "ldaps:// ldap://127.0.0.1" То всё вроде бы запускается... Вопрос к знатокам --как допилить инит-скрипт? И ещё --при генерации ключа нужно вводить hostname. В сети машинка пингуется как ring. hostname возвращает ring.local. И что из этого прописывать? -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 12:03 ` Anton Gorlov @ 2005-04-18 12:19 ` Nikolay A. Fetisov 2005-04-18 12:22 ` Re[2]: " Anton Gorlov 2005-04-18 12:41 ` Anton Gorlov 0 siblings, 2 replies; 13+ messages in thread From: Nikolay A. Fetisov @ 2005-04-18 12:19 UTC (permalink / raw) To: community On Monday 18 April 2005 16:03, Anton Gorlov wrote: > .... > Кажется я почти понял в чём дело --если запускать не как > service slpad start, а скажем как > > slapd -h "ldaps:// ldap://127.0.0.1" > То всё вроде бы запускается... > Вопрос к знатокам --как допилить инит-скрипт? А не в /etc/sysconfig/ldap ли дело? Там _список_ URI должен заключаться в одинарные _и_ двойные кавычки одновременно: SLAPDURLLIST='"ldap://127.0.0.1/ ldaps://"' -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[2]: [Comm] TLS SSL 2005-04-18 12:19 ` Nikolay A. Fetisov @ 2005-04-18 12:22 ` Anton Gorlov 2005-04-18 12:41 ` Anton Gorlov 1 sibling, 0 replies; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 12:22 UTC (permalink / raw) To: community Здравствуйте, Nikolay. Вы писали 18 апреля 2005 г., 16:19:16: >> Кажется я почти понял в чём дело --если запускать не как >> service slpad start, а скажем как >> slapd -h "ldaps:// ldap://127.0.0.1" >> То всё вроде бы запускается... >> Вопрос к знатокам --как допилить инит-скрипт? > А не в /etc/sysconfig/ldap ли дело? Может и в нём... > Там _список_ URI должен заключаться в одинарные _и_ двойные > кавычки одновременно: > SLAPDURLLIST='"ldap://127.0.0.1/ ldaps://"' Сейчас там SLAPDURLLIST="ldap://localhost/" #SLAPDURLLIST="ldap://localhost/ ldaps:///" #SLAPDURLLIST="ldap:/// ldaps:///" Что-то мне подсказывает что нужно первую строку заккоментировать и использовать 2? -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[2]: [Comm] TLS SSL 2005-04-18 12:19 ` Nikolay A. Fetisov 2005-04-18 12:22 ` Re[2]: " Anton Gorlov @ 2005-04-18 12:41 ` Anton Gorlov 2005-04-18 12:59 ` Nikolay A. Fetisov 1 sibling, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 12:41 UTC (permalink / raw) To: community Здравствуйте, Nikolay. Вы писали 18 апреля 2005 г., 16:19:16: > On Monday 18 April 2005 16:03, Anton Gorlov wrote: >> .... >> Кажется я почти понял в чём дело --если запускать не как >> service slpad start, а скажем как >> >> slapd -h "ldaps:// ldap://127.0.0.1" >> То всё вроде бы запускается... >> Вопрос к знатокам --как допилить инит-скрипт? > А не в /etc/sysconfig/ldap ли дело? > Там _список_ URI должен заключаться в одинарные _и_ двойные > кавычки одновременно: > SLAPDURLLIST='"ldap://127.0.0.1/ ldaps://"' неа... Не помогло... Какие ещё варианты? -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 12:41 ` Anton Gorlov @ 2005-04-18 12:59 ` Nikolay A. Fetisov 2005-04-18 13:00 ` Re[2]: " Anton Gorlov 0 siblings, 1 reply; 13+ messages in thread From: Nikolay A. Fetisov @ 2005-04-18 12:59 UTC (permalink / raw) To: community Здравствуйте, Anton. On Monday 18 April 2005 16:41, Anton Gorlov wrote: > Здравствуйте, Nikolay. > > Вы писали 18 апреля 2005 г., 16:19:16: > > On Monday 18 April 2005 16:03, Anton Gorlov wrote: > >> .... > >> Кажется я почти понял в чём дело --если запускать не как > >> service slpad start, а скажем как > >> > >> slapd -h "ldaps:// ldap://127.0.0.1" > >> То всё вроде бы запускается... > >> Вопрос к знатокам --как допилить инит-скрипт? > > > > А не в /etc/sysconfig/ldap ли дело? > > Там _список_ URI должен заключаться в одинарные _и_ двойные > > кавычки одновременно: > > SLAPDURLLIST='"ldap://127.0.0.1/ ldaps://"' > > неа... Не помогло... Какие ещё варианты? Без логов и прочего - вариантов может быть масса :-) Например: slapd перестал запускаться после редактирования в нём строк с сертификатами? А где они лежат, и скопировались ли в /var/lib/ldap/etc ? А процесс slapd, работающий от пользователя ldap, может их прочитать? А права на TLSCertificateKeyFile 0600 ? -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[2]: [Comm] TLS SSL 2005-04-18 12:59 ` Nikolay A. Fetisov @ 2005-04-18 13:00 ` Anton Gorlov 2005-04-18 13:15 ` Nikolay A. Fetisov 0 siblings, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 13:00 UTC (permalink / raw) To: community Здравствуйте, Nikolay. Вы писали 18 апреля 2005 г., 16:59:07: >> > А не в /etc/sysconfig/ldap ли дело? >> > Там _список_ URI должен заключаться в одинарные _и_ двойные >> > кавычки одновременно: >> > SLAPDURLLIST='"ldap://127.0.0.1/ ldaps://"' >> неа... Не помогло... Какие ещё варианты? > Без логов и прочего - вариантов может быть масса :-) Например: > slapd перестал запускаться после редактирования в нём строк с > сертификатами? А где они лежат, и скопировались ли в > /var/lib/ldap/etc ? А процесс slapd, работающий от пользователя > ldap, может их прочитать? А права на TLSCertificateKeyFile > 0600 ? Так если запускать как slapd -h "ldaps:// ldap://127.0.0.1" то оно работает... -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 13:00 ` Re[2]: " Anton Gorlov @ 2005-04-18 13:15 ` Nikolay A. Fetisov 2005-04-18 13:19 ` Re[2]: " Anton Gorlov 2005-04-18 13:26 ` Re[2]: " Anton Gorlov 0 siblings, 2 replies; 13+ messages in thread From: Nikolay A. Fetisov @ 2005-04-18 13:15 UTC (permalink / raw) To: community On Monday 18 April 2005 17:00, Anton Gorlov wrote: > ..... > Так если запускать как slapd -h "ldaps:// ldap://127.0.0.1" > то оно работает... Во-во. От root'а. А из /etc/rc.d/init.d/slapd он запускается, во-первых, в chroot'е, а во-вторых, от ldap. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[2]: [Comm] TLS SSL 2005-04-18 13:15 ` Nikolay A. Fetisov @ 2005-04-18 13:19 ` Anton Gorlov 2005-04-18 13:32 ` Nikolay A. Fetisov 2005-04-18 13:26 ` Re[2]: " Anton Gorlov 1 sibling, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 13:19 UTC (permalink / raw) To: community Здравствуйте, Nikolay. Вы писали 18 апреля 2005 г., 17:15:49: >> ..... >> Так если запускать как slapd -h "ldaps:// ldap://127.0.0.1" >> то оно работает... > Во-во. От root'а. А из /etc/rc.d/init.d/slapd он запускается, > во-первых, в chroot'е, а во-вторых, от ldap. Ну так в логе я же писал, что чисто.. Если только попробывать strace сюда впихнуть... только как... -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 13:19 ` Re[2]: " Anton Gorlov @ 2005-04-18 13:32 ` Nikolay A. Fetisov 2005-04-18 22:21 ` Dmitry Lebkov 0 siblings, 1 reply; 13+ messages in thread From: Nikolay A. Fetisov @ 2005-04-18 13:32 UTC (permalink / raw) To: community On Monday 18 April 2005 17:19, Anton Gorlov wrote: > Здравствуйте, Nikolay. > > Вы писали 18 апреля 2005 г., 17:15:49: > >> ..... > >> Так если запускать как slapd -h "ldaps:// > >> ldap://127.0.0.1" то оно работает... > > > > Во-во. От root'а. А из /etc/rc.d/init.d/slapd он > > запускается, во-первых, в chroot'е, а во-вторых, от ldap. > > Ну так в логе я же писал, что чисто.. Если только попробывать > strace сюда впихнуть... только как... По имеющемуся опыту, в логи slapd пишет, когда ему это хочется. Всё-таки, если от root slapd запускается, а от ldap - нет, то... - возможно, что-то не скопировалось в его chroot. Хорошо бы проверить, всё ли одинаково в /etc и /var/lib/ldap/etc . - может ли пользователь ldap читать сертификаты, лежащие в /var/lib/ldap/etc ? Какому пользователю они принадлежат? И какие на них права? - раз Вы его запустили от root, то кому сейчас принадлежат его базы в /var/lib/ldap/bases ? -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 13:32 ` Nikolay A. Fetisov @ 2005-04-18 22:21 ` Dmitry Lebkov 2005-04-19 6:40 ` Boldin Pavel 0 siblings, 1 reply; 13+ messages in thread From: Dmitry Lebkov @ 2005-04-18 22:21 UTC (permalink / raw) To: community On Mon, 18 Apr 2005 17:32:15 +0400 Nikolay A. Fetisov wrote: > On Monday 18 April 2005 17:19, Anton Gorlov wrote: > > Здравствуйте, Nikolay. > > > > Вы писали 18 апреля 2005 г., 17:15:49: > > >> ..... > > >> Так если запускать как slapd -h "ldaps:// > > >> ldap://127.0.0.1" то оно работает... > > > > > > Во-во. От root'а. А из /etc/rc.d/init.d/slapd он > > > запускается, во-первых, в chroot'е, а во-вторых, от ldap. > > > > Ну так в логе я же писал, что чисто.. Если только попробывать > > strace сюда впихнуть... только как... > > По имеющемуся опыту, в логи slapd пишет, когда ему это > хочется. Всё-таки, если от root slapd запускается, а от ldap - > нет, то... Таки в логи он пишет тогда, когда ему про это сказано и когда syslog настроен соответственно. Наверное уже пора в FAQ заносить: Q: не запускается ldap через service slapd start, в логах ничего нет. Как узнать в чем проблема? A: # slapd -u ldap -r /var/lib/ldap -h 'ldap://localhost' -d 64 и смотреть на stdout. man slapd.conf на предмет loglevel ( значение параметра -d) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] TLS SSL 2005-04-18 22:21 ` Dmitry Lebkov @ 2005-04-19 6:40 ` Boldin Pavel 0 siblings, 0 replies; 13+ messages in thread From: Boldin Pavel @ 2005-04-19 6:40 UTC (permalink / raw) To: community Dmitry Lebkov пишет: > On Mon, 18 Apr 2005 17:32:15 +0400 > Nikolay A. Fetisov wrote: > > >>On Monday 18 April 2005 17:19, Anton Gorlov wrote: >> >>>Здравствуйте, Nikolay. >>> >>>Вы писали 18 апреля 2005 г., 17:15:49: >>> >>>>>..... >>>>>Так если запускать как slapd -h "ldaps:// >>>>>ldap://127.0.0.1" то оно работает... >>>> >>>>Во-во. От root'а. А из /etc/rc.d/init.d/slapd он >>>>запускается, во-первых, в chroot'е, а во-вторых, от ldap. >>> >>>Ну так в логе я же писал, что чисто.. Если только попробывать >>>strace сюда впихнуть... только как... >> >>По имеющемуся опыту, в логи slapd пишет, когда ему это >>хочется. Всё-таки, если от root slapd запускается, а от ldap - >>нет, то... > > > Таки в логи он пишет тогда, когда ему про это сказано и когда > syslog настроен соответственно. > > Наверное уже пора в FAQ заносить: > > Q: не запускается ldap через service slapd start, в логах ничего нет. > Как узнать в чем проблема? > A: # slapd -u ldap -r /var/lib/ldap -h 'ldap://localhost' -d 64 > и смотреть на stdout. man slapd.conf на предмет loglevel ( > значение параметра -d) > наверное можно и через `-d -1' -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[2]: [Comm] TLS SSL 2005-04-18 13:15 ` Nikolay A. Fetisov 2005-04-18 13:19 ` Re[2]: " Anton Gorlov @ 2005-04-18 13:26 ` Anton Gorlov 1 sibling, 0 replies; 13+ messages in thread From: Anton Gorlov @ 2005-04-18 13:26 UTC (permalink / raw) To: community Здравствуйте, Nikolay. Вы писали 18 апреля 2005 г., 17:15:49: >> Так если запускать как slapd -h "ldaps:// ldap://127.0.0.1" >> то оно работает... > Во-во. От root'а. А из /etc/rc.d/init.d/slapd он запускается, > во-первых, в chroot'е, а во-вторых, от ldap. drwxrwx--- 2 ldap ldap 22 Apr 18 15:36 ssl -rw------- 2 ldap ldap 1864 Apr 18 15:15 slapd.pem -- С уважением, Anton mailto:Pnz.Stalker@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2005-04-19 6:40 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-04-18 11:23 [Comm] TLS SSL Anton Gorlov 2005-04-18 12:03 ` Anton Gorlov 2005-04-18 12:19 ` Nikolay A. Fetisov 2005-04-18 12:22 ` Re[2]: " Anton Gorlov 2005-04-18 12:41 ` Anton Gorlov 2005-04-18 12:59 ` Nikolay A. Fetisov 2005-04-18 13:00 ` Re[2]: " Anton Gorlov 2005-04-18 13:15 ` Nikolay A. Fetisov 2005-04-18 13:19 ` Re[2]: " Anton Gorlov 2005-04-18 13:32 ` Nikolay A. Fetisov 2005-04-18 22:21 ` Dmitry Lebkov 2005-04-19 6:40 ` Boldin Pavel 2005-04-18 13:26 ` Re[2]: " Anton Gorlov
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git