From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dima@sakhalin.ru>
Message-ID: <41DC0D86.2010303@sakhalin.ru>
Date: Thu, 06 Jan 2005 01:53:42 +1000
From: Dmitry Lebkov <dima@sakhalin.ru>
User-Agent: Mozilla Thunderbird 1.0 (X11/20041206)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] LDAP =?KOI8-R?Q?=C7=D2=C1=C2=CC=C9?=
References: <41DBEE89.6020109@nm.ru>
In-Reply-To: <41DBEE89.6020109@nm.ru>
X-Enigmail-Version: 0.89.6.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Wed, 05 Jan 2005 15:50:21 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/41DC0D86.2010303@sakhalin.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Artem wrote:
> Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3
> Все настроено и работает отлично, грабли возникают при переходе на TLS -
> соединения с ним.
> Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert  подписан,
> естеснно, ca.cert
> Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в
> slapd.conf
> 
> Cтартую - все ок (за небольшим исключением, об этом позже).
> LDAP слушает на 389-м:
> tcp        0      0 0.0.0.0:389             0.0.0.0:*
> LISTEN      3927/slapd
> 
> Пробуем соединиться:
> ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z
> 
> В ответ:
> ldap_start_tls: Connect error (91)
> ldap_sasl_interactive_bind_s: Can't contact LDAP server (81)
> 
> Из gq - то же самое..

Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
tls_reqcert never


> Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap
> SLAPDURLLIST="ldap:/// ldaps:///"
Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
еще и в одинарные кавычки.

SLAPDURLLIST="'ldap:/// ldaps:///'"

> 
> и вывод ps:
> ldap      3927  0.0  1.3 11420 3452 ?        S    14:52   0:00
> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> netstat показывает вот что:
> [root@axis sysconfig]# netstat -ltnp
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State       PID/Program name
> .....
> tcp        0      0 0.0.0.0:389             0.0.0.0:*
> LISTEN      3927/slapd
> ......
> А 636 - го порта нигде не видно (ldaps:///)
> Но если запускать из командной строки вроде:
> slapd -h "ldap:/// ldaps:///" - то все ок...
> 
> Вопросы:
> Что за грабли с TLS и как мне засекурить коннект?
Насколько я понимаю, в OpenSSL изменилось поведение по-умолчанию
для клиентских сертификатов.

> Почему такое странное поведение с параметрами -h ?

Потому, что параметорм для ключа считается вся строка до первого
пробела. Если значение содержит пробел - заключай строку в кавычки.

--
WBR, Dmitry Lebkov