[Comm] TLS SSL

[Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, community.

Как-бы добиться более информативных логов от ldap и squid_auth_ldap?
А то не понятно чего им обоим не хватает.

В логе сквида есть только:

Could not Activate TLS connection
2005/04/19 17:47:37| WARNING: basicauthenticator #4 (FD 11) exited
Could not Activate TLS connection
2005/04/19 17:47:43| WARNING: basicauthenticator #5 (FD 12) exited

В логах лдапа
Apr 19 17:47:37 ring slapd[22074]: conn=0 fd=10 ACCEPT from IP=192.168.1.111:322
Apr 19 17:47:37 ring slapd[22074]: conn=0 fd=10 closed
Apr 19 17:47:43 ring slapd[22074]: conn=1 fd=10 ACCEPT from IP=192.168.1.111:322
Apr 19 17:47:43 ring slapd[22074]: conn=1 fd=10 closed


Хм.. Может ли это быть связано с тем, что сквыид аннонимно коннектится
к лдапу? Хотя без шифрования всё работает....

-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] TLS SSL

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, community.
> 
> Как-бы добиться более информативных логов от ldap и squid_auth_ldap?
> А то не понятно чего им обоим не хватает.
> 
> В логе сквида есть только:
> 
> Could not Activate TLS connection
> 2005/04/19 17:47:37| WARNING: basicauthenticator #4 (FD 11) exited
> Could not Activate TLS connection
> 2005/04/19 17:47:43| WARNING: basicauthenticator #5 (FD 12) exited
> 
> В логах лдапа
> Apr 19 17:47:37 ring slapd[22074]: conn=0 fd=10 ACCEPT from IP=192.168.1.111:322
> Apr 19 17:47:37 ring slapd[22074]: conn=0 fd=10 closed
> Apr 19 17:47:43 ring slapd[22074]: conn=1 fd=10 ACCEPT from IP=192.168.1.111:322
> Apr 19 17:47:43 ring slapd[22074]: conn=1 fd=10 closed
> 
> 
> Хм.. Может ли это быть связано с тем, что сквыид аннонимно коннектится
> к лдапу? Хотя без шифрования всё работает....
> 

это скорее связано с тем, что порт не правильно указан :)

может попробовать стандартный порт + TLS (start_tls это называется)

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 22:52:39:

>> Как-бы добиться более информативных логов от ldap и squid_auth_ldap?
>> А то не понятно чего им обоим не хватает.
>> В логе сквида есть только:
>> Could not Activate TLS connection
>> 2005/04/19 17:47:37| WARNING: basicauthenticator #4 (FD 11) exited
>> Could not Activate TLS connection
>> 2005/04/19 17:47:43| WARNING: basicauthenticator #5 (FD 12) exited
>> В логах лдапа
>> Apr 19 17:47:37 ring slapd[22074]: conn=0 fd=10 ACCEPT from IP=192.168.1.111:322
>> Apr 19 17:47:37 ring slapd[22074]: conn=0 fd=10 closed
>> Apr 19 17:47:43 ring slapd[22074]: conn=1 fd=10 ACCEPT from IP=192.168.1.111:322
>> Apr 19 17:47:43 ring slapd[22074]: conn=1 fd=10 closed
>> Хм.. Может ли это быть связано с тем, что сквыид аннонимно коннектится
>> к лдапу? Хотя без шифрования всё работает....
>> 
> это скорее связано с тем, что порт не правильно указан :)

Есть ли бы порт был указан не верно -то в логе лдапа небыло бы
"ACCEPT from IP=192.168.1.111:322"

> может попробовать стандартный порт + TLS (start_tls это называется)
Хм.. Порт указан вроде тот -бо когда я указывалнеправильный порт, то в
логе лдапа было тихо, хотя сквид писал тоже самое..

Что-то мне опять подсказывает, что это не выход из положения -бо
как тогда смогут клиенты, ходящие не через TLS ходить к лдапу? Сейчас
на 127.0.0.1 он слушает на простом соединении, а на своём ипишнике
в сети онли TLS:636. Судя по netstat -nap | grep slapd так оно и
есть...




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] TLS SSL

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 19 апреля 2005 г., 22:52:39:
> 
> 
> 
> 
>>может попробовать стандартный порт + TLS (start_tls это называется)
> 
> Хм.. Порт указан вроде тот -бо когда я указывалнеправильный порт, то в
> логе лдапа было тихо, хотя сквид писал тоже самое..
> 
> Что-то мне опять подсказывает, что это не выход из положения -бо
> как тогда смогут клиенты, ходящие не через TLS ходить к лдапу? Сейчас
> на 127.0.0.1 он слушает на простом соединении, а на своём ипишнике
> в сети онли TLS:636. Судя по netstat -nap | grep slapd так оно и
> есть...
> 
> 
> 

ваш приговор:
$ ldapsearch -x -d -1 -b "cn=admin,dc=..." <опции по вкусу>
от пользователя, который запускает squid.

и лог сюда :)


-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 20 апреля 2005 г., 6:46:19:


>>>может попробовать стандартный порт + TLS (start_tls это называется)
>> Хм.. Порт указан вроде тот -бо когда я указывалнеправильный порт, то в
>> логе лдапа было тихо, хотя сквид писал тоже самое..
>> Что-то мне опять подсказывает, что это не выход из положения -бо
>> как тогда смогут клиенты, ходящие не через TLS ходить к лдапу? Сейчас
>> на 127.0.0.1 он слушает на простом соединении, а на своём ипишнике
>> в сети онли TLS:636. Судя по netstat -nap | grep slapd так оно и
>> есть...
> ваш приговор:
> $ ldapsearch -x -d -1 -b "cn=admin,dc=..." <опции по вкусу>
> от пользователя, который запускает squid.
> и лог сюда :)

А как ldapsearch заставить ходить через TLS?
Сквид запускается от рута... Но к лдапу ходит анонимно.
Сейчас вырублю всё лишнее и пришлю вам лог между лдапа при работе со
сквидом.





-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] TLS SSL

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 20 апреля 2005 г., 6:46:19:
> 
> 
> 
>>>>может попробовать стандартный порт + TLS (start_tls это называется)
>>>
>>>Хм.. Порт указан вроде тот -бо когда я указывалнеправильный порт, то в
>>>логе лдапа было тихо, хотя сквид писал тоже самое..
>>>Что-то мне опять подсказывает, что это не выход из положения -бо
>>>как тогда смогут клиенты, ходящие не через TLS ходить к лдапу? Сейчас
>>>на 127.0.0.1 он слушает на простом соединении, а на своём ипишнике
>>>в сети онли TLS:636. Судя по netstat -nap | grep slapd так оно и
>>>есть...
>>
>>ваш приговор:
>>$ ldapsearch -x -d -1 -b "cn=admin,dc=..." <опции по вкусу>
>>от пользователя, который запускает squid.
>>и лог сюда :)
> 
> 
> А как ldapsearch заставить ходить через TLS?
> Сквид запускается от рута... Но к лдапу ходит анонимно.
> Сейчас вырублю всё лишнее и пришлю вам лог между лдапа при работе со
> сквидом.
> 
> 

сорри, забыл опция -Z (или -ZZ - требовать! TLS)

еще, вспомнил, сделайте как ls /var/lib/ldap/etc/openldap -R

можно даже ls -R /var/lib/ldap/

все в bzip2 и мне :)
-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

[-- Attachment #1: Type: text/plain, Size: 1126 bytes --]

Здравствуйте, Boldin.

Вы писали 20 апреля 2005 г., 10:53:59:

>>>ваш приговор:
>>>$ ldapsearch -x -d -1 -b "cn=admin,dc=..." <опции по вкусу>
>>>от пользователя, который запускает squid.
>>>и лог сюда :)
>> А как ldapsearch заставить ходить через TLS?
>> Сквид запускается от рута... Но к лдапу ходит анонимно.
>> Сейчас вырублю всё лишнее и пришлю вам лог между лдапа при работе со
>> сквидом.
> сорри, забыл опция -Z (или -ZZ - требовать! TLS)
> еще, вспомнил, сделайте как ls /var/lib/ldap/etc/openldap -R
> можно даже ls -R /var/lib/ldap/
> все в bzip2 и мне :)

В общем ловите.
На всякий случай всё:
запуск лдапа:

slapd -h "ldaps://" -u ldap -r /var/lib/ldap -d -1 2>&1
|tee -a ~/LogToDavinchi;

[root@ring root]# netstat -nap | grep slapd
tcp  0     0 0.0.0.0:636     0.0.0.0:*   LISTEN      3322/slapd
unix  2      [ ]         DGRAM    11864  3322/slapd

поиск:
ldapsearch -x -d -1 -b -Z -p 636 -h ring.local
"cn=admin,dc=rcc,dc=com,dc=ru" "(objectclass=*)"
2>&1|tee -a ~/ldapsearch

Логи в аттаче




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

[-- Attachment #2: ls.bz2 --]
[-- Type: application/octet-stream, Size: 850 bytes --]

[-- Attachment #3: ldapsearc.bz2 --]
[-- Type: application/octet-stream, Size: 1413 bytes --]

[-- Attachment #4: LogToDavinchi.bz2 --]
[-- Type: application/octet-stream, Size: 10385 bytes --]

Re: [Comm] TLS SSL

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 20 апреля 2005 г., 10:53:59:
> 
> 
>>>>ваш приговор:
>>>>$ ldapsearch -x -d -1 -b "cn=admin,dc=..." <опции по вкусу>
>>>>от пользователя, который запускает squid.
>>>>и лог сюда :)
>>>
>>>А как ldapsearch заставить ходить через TLS?
>>>Сквид запускается от рута... Но к лдапу ходит анонимно.
>>>Сейчас вырублю всё лишнее и пришлю вам лог между лдапа при работе со
>>>сквидом.
>>
>>сорри, забыл опция -Z (или -ZZ - требовать! TLS)
>>еще, вспомнил, сделайте как ls /var/lib/ldap/etc/openldap -R
>>можно даже ls -R /var/lib/ldap/
>>все в bzip2 и мне :)
> 
> 
> В общем ловите.
> На всякий случай всё:
> запуск лдапа:
> 
> slapd -h "ldaps://" -u ldap -r /var/lib/ldap -d -1 2>&1
> |tee -a ~/LogToDavinchi;
> 
> [root@ring root]# netstat -nap | grep slapd
> tcp  0     0 0.0.0.0:636     0.0.0.0:*   LISTEN      3322/slapd
> unix  2      [ ]         DGRAM    11864  3322/slapd
> 
> поиск:
> ldapsearch -x -d -1 -b -Z -p 636 -h ring.local
> "cn=admin,dc=rcc,dc=com,dc=ru" "(objectclass=*)"
> 2>&1|tee -a ~/ldapsearch
> 
> Логи в аттаче
> 

попробуйте порт 389 (без ldaps)

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 20 апреля 2005 г., 17:34:36:


>> Логи в аттаче
> попробуйте порт 389 (без ldaps)

Так я при запуске указываю -h ring.local. Попробую сейчас сделать
так... Но это не совсем устраивает --так как все остальные клиенты,
живущие с лдапом на одной машине ходят к 127,0,0,1:389 и наружу
открывать 389 порт ессно не надо.. так как тогда всё это теряет смысл.





-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru