Re: [Comm] TLS SSL

Re: [Comm] TLS SSL

[Boldin Pavel]

[-- Attachment #1: Type: text/plain, Size: 1357 bytes --]

Anton Gorlov пишет:
> Здравствуйте, community.

Ура! Заработало!

Значит делаем так:

# squid_ldap_auth -b "dc=nirvana,dc=home" -H 'ldap://nirvana.home/' -f
"uid=%s" -v 3 -Z
где -v 3 - версия протокола для bind, -Z - указание на использование TLS.
================== stdin
vasya file
OK
===================

в squid.conf пока можно записать /usr/bin/strace -o /tmp/strace.log
/usr/lib/squid/squid_ldap_auth .....

(и отсылать/смотреть самоу /tmp/strace.log)

1. замечание squid_ldap_auth запускается НЕ ПОД root, значит, если нет
прав на чтение CAcert (кстати, squid_ldap_auth читает
/etc/openldap/ldap.conf, в котором есть опция TLS_CACERT)
то все обламывается (что скорее всего и случилось :)
лечится либо так:
# cp /etc/openldap/ldap.conf /var/spool/squid/ldaprc
# cp /etc/openldap/ssl/cacert.pem /var/spool/squid/cacert.pem
# echo "TLS_CACERT /var/spool/squid/cacert.pem" > /var/spool/squid/ldaprc

или просто добавлением squid в группу ldap и тогда
# chown ldap.ldap -R /etc/openldap

прилагаются файлы: ldap.conf, squid.conf.bz2 (смотрите секции с
auth_param), slapd.conf вам не нужен.

если сразу заработает - с Вас бутылка пива :), будете в Самаре - завезете ;)

если нет - пишите, включайте файл strace.log (лучше как bz2)

-- 

Болдин Павел aka davinchi

       ldavinchi@inbox.ru or davinchi@zu.org.ru

       ZU - Zagovor Unixoidov. SSAU 303.



[-- Attachment #2: ldap.conf --]
[-- Type: text/plain, Size: 335 bytes --]

# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE	dc=nirvana, dc=home
URI	ldap://ldap.servers

TLS_CACERT /etc/openldap/ssl/cacert.pem
#SIZELIMIT	12
#TIMELIMIT	15
#DEREF		never

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 20 апреля 2005 г., 13:14:35:

> Ура! Заработало!
Хм...

> Значит делаем так:
> # squid_ldap_auth -b "dc=nirvana,dc=home" -H 'ldap://nirvana.home/' -f
> "uid=%s" -v 3 -Z
> где -v 3 - версия протокола для bind, -Z - указание на использование TLS.
> ================== stdin
> vasya file
> OK
> ===================
> в squid.conf пока можно записать /usr/bin/strace -o /tmp/strace.log
> /usr/lib/squid/squid_ldap_auth .....
> (и отсылать/смотреть самоу /tmp/strace.log)

Ща посмотрим..

> 1. замечание squid_ldap_auth запускается НЕ ПОД root, значит, если нет
> прав на чтение CAcert (кстати, squid_ldap_auth читает
> /etc/openldap/ldap.conf, в котором есть опция TLS_CACERT)
> то все обламывается (что скорее всего и случилось :)
Но у меня та в этом файле всё закоментировано (из коробки)..
Так что не похоже что у меня проблема в этом.

> лечится либо так:
> # cp /etc/openldap/ldap.conf /var/spool/squid/ldaprc
> # cp /etc/openldap/ssl/cacert.pem /var/spool/squid/cacert.pem
> # echo "TLS_CACERT /var/spool/squid/cacert.pem" > /var/spool/squid/ldaprc
> или просто добавлением squid в группу ldap и тогда
> # chown ldap.ldap -R /etc/openldap
> прилагаются файлы: ldap.conf, squid.conf.bz2 (смотрите секции с
> auth_param), slapd.conf вам не нужен.
> если сразу заработает - с Вас бутылка пива :), будете в Самаре - завезете ;)

Я по почте отправлю, только такое ощущение что и сейчас не взлетит..
и не понятно -почему же ldapsearch, запущенный от рута обламывается с
похожими симптомами?





-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] TLS SSL

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 20 апреля 2005 г., 13:14:35:
> 
> 
>>Ура! Заработало!
> 
> Хм...
> 
> 
>>Значит делаем так:
>># squid_ldap_auth -b "dc=nirvana,dc=home" -H 'ldap://nirvana.home/' -f
>>"uid=%s" -v 3 -Z
>>где -v 3 - версия протокола для bind, -Z - указание на использование TLS.
>>================== stdin
>>vasya file
>>OK
>>===================
>>в squid.conf пока можно записать /usr/bin/strace -o /tmp/strace.log
>>/usr/lib/squid/squid_ldap_auth .....
>>(и отсылать/смотреть самоу /tmp/strace.log)
> 
> 
> Ща посмотрим..
> 
> 
>>1. замечание squid_ldap_auth запускается НЕ ПОД root, значит, если нет
>>прав на чтение CAcert (кстати, squid_ldap_auth читает
>>/etc/openldap/ldap.conf, в котором есть опция TLS_CACERT)
>>то все обламывается (что скорее всего и случилось :)
> 
> Но у меня та в этом файле всё закоментировано (из коробки)..
> Так что не похоже что у меня проблема в этом.

если TLS_CACERT не установлен, то проблема скорее всего в этом...
TLS_CACERT должен устанавиватся в файл, в котором лежит CA сертификат, 
по нему проводится проверка сервера (и TLS тоже по нему, без этого у 
меня не получалось настроить TLS)

> 
> 
>>лечится либо так:
>># cp /etc/openldap/ldap.conf /var/spool/squid/ldaprc
>># cp /etc/openldap/ssl/cacert.pem /var/spool/squid/cacert.pem
>># echo "TLS_CACERT /var/spool/squid/cacert.pem" > /var/spool/squid/ldaprc
>>или просто добавлением squid в группу ldap и тогда
>># chown ldap.ldap -R /etc/openldap
>>прилагаются файлы: ldap.conf, squid.conf.bz2 (смотрите секции с
>>auth_param), slapd.conf вам не нужен.
>>если сразу заработает - с Вас бутылка пива :), будете в Самаре - завезете ;)
> 
> 
> Я по почте отправлю, только такое ощущение что и сейчас не взлетит..
> и не понятно -почему же ldapsearch, запущенный от рута обламывается с
> похожими симптомами?
> 

Смотри выше...

из-за tls_cacert и обламывается

еще можно squid_ldap_auth от пользователя позапускать (помогает)

создайте пользователя и дайте ему простой пароль,

запускайте как показано выше и если пишет что не может TLS смотрите 
strace.log на предмет ошибки..

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

[-- Attachment #1: Type: text/plain, Size: 585 bytes --]

Здравствуйте, Boldin.

Вы писали 20 апреля 2005 г., 15:44:54:

> Anton Gorlov пишет:
>> Здравствуйте, Boldin.
>> Вы писали 20 апреля 2005 г., 13:14:35:
>>>Ура! Заработало!
>> Хм...

А мы не взлетели. Внёс сквид в группу ldap, прописал в
/etc/openldap/ldap.conf
TLS_CACERT /etc/openldap/ssl/cacert.pem
(может ещё стоило прописать в slapd.conf?)
Попробовал опять зайти через прокси - тоже самое.
Правда странно, в strace'е не увидел обращения к cacept.pem
И ldapsearch выдал тоже самое...


-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

[-- Attachment #2: ldap.conf.bz2 --]
[-- Type: application/octet-stream, Size: 321 bytes --]

[-- Attachment #3: auth.log.bz2 --]
[-- Type: application/octet-stream, Size: 3905 bytes --]

[-- Attachment #4: group.log.bz2 --]
[-- Type: application/octet-stream, Size: 1764 bytes --]

Re: [Comm] TLS SSL

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 20 апреля 2005 г., 13:14:35:
> 
> 
>>Ура! Заработало!
> 
> Хм...
> 
> 
>>Значит делаем так:
>># squid_ldap_auth -b "dc=nirvana,dc=home" -H 'ldap://nirvana.home/' -f
>>"uid=%s" -v 3 -Z
>>где -v 3 - версия протокола для bind, -Z - указание на использование TLS.
>>================== stdin
>>vasya file
>>OK
>>===================

замечание: если указан ldaps:// а не ldap:// то опция -Z ВЫЗЫВАЕТ 
ПАДЕНИЕ. (типа TLS already UP, cannot setup TLS)



-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] TLS SSL

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 20 апреля 2005 г., 17:42:40:

>>>Значит делаем так:
>>># squid_ldap_auth -b "dc=nirvana,dc=home" -H 'ldap://nirvana.home/' -f
>>>"uid=%s" -v 3 -Z
>>>где -v 3 - версия протокола для bind, -Z - указание на использование TLS.
>>>================== stdin
>>>vasya file
>>>OK
>>>===================
> замечание: если указан ldaps:// а не ldap:// то опция -Z ВЫЗЫВАЕТ
> ПАДЕНИЕ. (типа TLS already UP, cannot setup TLS)

Сейчас попробую сделать не через -h. А через -H и посмотрю что сейчас
получится..






-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru