From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <41DC0D86.2010303@sakhalin.ru> Date: Thu, 06 Jan 2005 01:53:42 +1000 From: Dmitry Lebkov User-Agent: Mozilla Thunderbird 1.0 (X11/20041206) X-Accept-Language: en-us, en MIME-Version: 1.0 To: ALT Linux Sisyphus discussion list Subject: Re: [sisyphus] LDAP =?KOI8-R?Q?=C7=D2=C1=C2=CC=C9?= References: <41DBEE89.6020109@nm.ru> In-Reply-To: <41DBEE89.6020109@nm.ru> X-Enigmail-Version: 0.89.6.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 05 Jan 2005 15:50:21 -0000 Archived-At: List-Archive: Artem wrote: > Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3 > Все настроено и работает отлично, грабли возникают при переходе на TLS - > соединения с ним. > Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert подписан, > естеснно, ca.cert > Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в > slapd.conf > > Cтартую - все ок (за небольшим исключением, об этом позже). > LDAP слушает на 389-м: > tcp 0 0 0.0.0.0:389 0.0.0.0:* > LISTEN 3927/slapd > > Пробуем соединиться: > ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z > > В ответ: > ldap_start_tls: Connect error (91) > ldap_sasl_interactive_bind_s: Can't contact LDAP server (81) > > Из gq - то же самое.. Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое: tls_reqcert never > Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap > SLAPDURLLIST="ldap:/// ldaps:///" Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:/// еще и в одинарные кавычки. SLAPDURLLIST="'ldap:/// ldaps:///'" > > и вывод ps: > ldap 3927 0.0 1.3 11420 3452 ? S 14:52 0:00 > /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// > > netstat показывает вот что: > [root@axis sysconfig]# netstat -ltnp > Active Internet connections (only servers) > Proto Recv-Q Send-Q Local Address Foreign Address > State PID/Program name > ..... > tcp 0 0 0.0.0.0:389 0.0.0.0:* > LISTEN 3927/slapd > ...... > А 636 - го порта нигде не видно (ldaps:///) > Но если запускать из командной строки вроде: > slapd -h "ldap:/// ldaps:///" - то все ок... > > Вопросы: > Что за грабли с TLS и как мне засекурить коннект? Насколько я понимаю, в OpenSSL изменилось поведение по-умолчанию для клиентских сертификатов. > Почему такое странное поведение с параметрами -h ? Потому, что параметорм для ключа считается вся строка до первого пробела. Если значение содержит пробел - заключай строку в кавычки. -- WBR, Dmitry Lebkov