Colegas, espero que hayan disfrutado de este feriado !!!
bien.. el problema que tengo ahora es: tengo instalado varios Fedora Directory Services (FDS) y en ellos tengo configurado las cuentas de los usuarios para que se autentifiquen por LDAP. a principio (en las pruebas) todo funcionaba como debería.. tenia configurado en el DNS las entradas fds1 IN A 10.0.0.11 fds2 IN A 10.0.0.12 fds3 IN A 10.0.0.13 fds4 IN A 10.0.0.14 y fds IN A 10.0.0.11 fds IN A 10.0.0.12 fds IN A 10.0.0.13 fds IN A 10.0.0.14 para poder configurar en los clientes de la siguiente manera: URI ldap://fds.midominio.cl:389 hasta que pase a la siguiente etapa que era la de implementar certificados !!! fue una tremenda odisea, hasta que encontré la opción de implementar "Subject Alternative Names" en los certificados. esta es un ejemplo de uno de los certificados: ************************** sudo certutil -L -d . -P slapd-fds1- -n fds1-server-cert Certificate: Data: Version: 3 (0x2) Serial Number: 270002 (0x41eb2) Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption Issuer: "[EMAIL PROTECTED],CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA" Validity: Not Before: Fri Oct 05 19:29:23 2007 Not After : Wed Apr 02 19:29:23 2008 Subject: "CN=fds1.midominio.cl" Subject Public Key Info: [...] Name: Certificate Subject Alt Name DNS name: "fds1.midominio.cl" Other Name: "fds1.midominio.cl" OID: OID.1.3.6.1.5.5.7.8.5 DNS name: "fds.midominio.cl" Other Name: "fds..midominio.cl" OID: OID.1.3.6.1.5.5.7.8.5 DNS name: "fds1..midominio.cl" Other Name: "fds1.midominio.cl" OID: OID.1.3.6.1.5.5.7.8.5 DNS name: "ldap.midominio.cl" Other Name: "ldap.midominio.cl" OID: OID.1.3.6.1.5.5.7.8.5 ************************** como se puede observar, los nombres alternativos estan bien. obs.: estoy utilizando cacert com CA. bien.. el tema es que habilité todo en los servidores FDS, bloquee el trafico por la puerta 389 (se acaso) y fue a configurar los clientes. en las maquinas con redhat enterprise server (4.5) y centos (5.5) funciona sin problemas poniendo "URI ldaps://fds.midominio.cl:636" en las maquinas ubuntu (7.10) y Debian (4.0) no funciona se pongo en la configuracion "URI ldaps://fds.midominio.cl:636" pero si funciona si pongo "URI ldaps://fds1.midominio.cl:636" o alguna variante que apunte al nombre especifico de algun servidor o sea "URI ldaps://fds[1,2,3,4].midominio.cl:636" pesquisando ayer un poco en los sitios sobre nss-ldap y ldap con SSL/TLS me encontré con la siguiente opción: TLS_REQCERT que tiene como posibles parámetros las opciones "never, allow, try y demand" por defecto "aparenta" que viene configurado en demand... que según la documentacion es la recomendable !!! intente cambiar para allow, pero tampoco funciona.. la unica alternativa que funciona en debin/ubuntu es "never", que no me parece muy sano !!! comparando las configuraciones de los equipos, no veo diferencia en las configuraciones !!!! imagino que sea: 1 - algún valor por defecto que vaya en redhat/centos y que NO vaya en debian/ubuntu 2 - algún paramentro en la compilacion 3 - algún bug en la versión las versiones de los softwares instalados en los equipos son: Centos ****************** rpm -qa | egrep "ldap|nss" openssl-0.9.8b-8.3.el5_0.2 openssh-server-4.3p2-24.el5 nss-3.11.7-1.3.el5.centos nss_db-2.2-35.1 openldap-2.3.27-8 nss-tools-3.11.7-1.3.el5.centos openssh-4.3p2-24.el5 nss_ldap-253-5.el5 openssh-clients-4.3p2-24.el5 pkinit-nss-0.7.3-1.el5 ****************** ubuntu ****************** dpkg -l | egrep "ldap|nss" ii ldap-auth-client 0.4 meta-package for LDAP authentication ii ldap-auth-config 0.4 Config package for LDAP authentication ii ldap-utils 2.3.35-1ubuntu0.1 OpenLDAP utilities ii libavahi-compat-libdnssd1 0.6.20-2ubuntu3 Avahi Apple Bonjour compatibility library ii libldap-2.3-0 2.3.35-1ubuntu0.1 OpenLDAP libraries ii libldap2 2.1.30-13.4 OpenLDAP libraries ii libmono-ldap2.0-cil 1.2.4-6ubuntu6 Mono LDAP library ii libnss-ldap 255-1ubuntu2 NSS module for using LDAP as a naming servic ii libnss-mdns 0.10-0.1ubuntu1 NSS module for Multicast DNS name resolution ii libnss3-0d 3.11.5-3 Network Security Service libraries ii libpam-ldap 184-1ubuntu2 Pluggable Authentication Module allowing LDA ii openssh-client 1:4.6p1-5build1 secure shell client, an rlogin/rsh/rcp repla ii openssh-server 1:4.6p1-5build1 secure shell server, an rshd replacement ii openssl 0.9.8e-5ubuntu3.1 Secure Socket Layer (SSL) binary and related ii ssl-cert 1.0.14 Simple debconf wrapper for openssl ****************** hay como depurar esto ?? lo que intente fue hacer un strace a getent $strace getent passwd usuario pero no he logrado encontrar nada !!! también intente revisar con ssldump y lo único que me mostró es un "Alerta" entre las conexciones del cliente y server. algunas otra herramienta/parametro/idea para que pueda intentar soluccionar este problema ??? salu2 y gracias. -- -- Victor Hugo dos Santos Linux Counter #224399