----- "Luigi Augello" <luigi.auge...@unipa.it> wrote: > ---------- Original Message ----------- > From: Francesco Malvezzi <francesco.malve...@unimore.it> > To: Luigi Augello <luigi.auge...@unipa.it> > Sent: Wed, 04 Feb 2009 08:34:37 +0100 > Subject: Re: [OpenLDAP] connessione ssl non riesco a risolvere > > > Luigi Augello ha scritto: > > > Salve alla lista > > > Non ho ancora risolto il problema, nonostante i suggerimenti di > > > Pierangelo. I file di configurazione sono i seguenti: > > > > > > > > > > file /etc/openldap/slapd.conf server-master > > > > > > > > > # > > > # See slapd.conf(5) for details on configuration options. > > > # This file should NOT be world readable. > > > # > > > include /etc/openldap/schema/core.schema > > > include /etc/openldap/schema/cosine.schema > > > include /etc/openldap/schema/inetorgperson.schema > > > include /etc/openldap/schema/nis.schema > > > include /etc/openldap/schema/samba.schema > > > pidfile /var/run/slapd/slapd.pid > > > argsfile /var/run/slapd/slapd.args > > > TLSCertificateFile /etc/ssl/ldap-cert.pem > > > TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem > > > TLSCACertificateFile /etc/ssl/ldap-cert-client.pem > > > > Qui sopra non potresti mettere la CA che ha emesso i certificati sia > > > del client che del server? Oppure sono self-signed? > > Sono self signed e probabilmente sbaglio in questo, ma non dispongo di > una > autorità per firmarli?
Non disponi *ancora* di un'autorita'. Vai per esempio a <http://sial.org/howto/openssl/ca/> e segui le istruzioni. Io l'ho fatto qualche settimana fa, perche' sono troppo pigro per imparare davvero, e ci sono riuscito in pochi minuti. Leggi bene le istruzioni, perche' non ricordo gia' piu' niente, e ho poca rete. > TLSCertificateFile /etc/ssl/ldap-cert.pem > è il certificato generato sulla macchina > > TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem > la chiave generata sulla macchia > > TLSCACertificateFile /etc/ssl/ldap-cert-client.pem > il certificato dell'altra macchina (il client su server e viceversa) TLSCACertificateFile deve essere il certificato della CA che ha firmato il certificato che sta in TLSCertificateFile. Siccome il tuo certificato non e' stato firmato dal certificato che sta in TLSCACertificateFile, c'e' un'inconsistenza. > > > > > > TLSVerifyClient demand > > > > Questa direttiva non serve se non per autenticare il mittente con > > SASL TLS/EXTERNAL, io la terrei fuori. > > ok Disabilitata Non sono d'accordo: secondo me TLS serve a poco (leggi: niente) se non ci si verifica reciprocamente. > > > log level 2048 > > > database ldbm > > > replogfile /var/lib/ldap/openldap-master-replog > > > replica uri=ldaps://147.163.110.191:636 > > > binddn="cn=AGSManager,dc=unipa,dc=it" bindmethod=simple > credentials=test > > > suffix "dc=unipa,dc=it" > > > rootdn "cn=Manager,dc=unipa,dc=it" > > > rootpw test > > > directory /var/lib/ldap > > > # Indices to maintain for this database > > > index objectClass eq > > > index uid,uidNumber,gidNumber,memberUid eq > > > index cn,mail,surname,givenname eq,subinitial > > > index sambaSid eq > > > index sambaPrimaryGroupSID eq > > > index sambaDomainName eq > > > sizelimit -1 > > > cachesize 10000 > > > > > > > > > > file > > > /etc/openldap/ldap.conf server-master > > > > > > > > > BASE dc=unipa,dc=it > > > URI ldap://127.0.0.1/ > > > URI ldaps://localhost:636/ > > > URI ldaps://147.163.110.191:636/ > > > TLS_CERT /etc/ssl/ldap-cert.pem > > > TLS_CACERT /etc/ssl/ldap-cert-client.pem > > > > > > > > > > > > > file /etc/openldap/slapd.conf server-client > > > > > > > > > > > > include /etc/openldap/schema/core.schema > > > include /etc/openldap/schema/cosine.schema > > > include /etc/openldap/schema/inetorgperson.schema > > > include /etc/openldap/schema/nis.schema > > > include /etc/openldap/schema/samba.schema > > > allow bind_v2 > > > pidfile /var/run/slapd/slapd.pid > > > argsfile /var/run/slapd/slapd.args > > > database ldbm > > > suffix "dc=unipa,dc=it" > > > rootdn "cn=Manager,dc=unipa,dc=it" > > > rootpw test > > > updatedn "cn=Manager,dc=unipa,dc=it" > > > updateref ldaps://147.163.110.190:636 > > > > Se metti ldaps, specificare la porta 636 e' pleonastico > > a posto > > > > > directory /var/lib/ldap > > > TLSCertificateFile /etc/ssl/ldap-cert.pem > > > TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem > > > TLSCACertificateFile /etc/ssl/ldap-cert-client.pem > > > #TLSVerifyClient demand > > > log level 2048 > > > index objectClass eq > > > index uid,uidNumber,gidNumber,memberUid eq > > > index cn,mail,surname,givenname eq,subinitial > > > index sambaSid eq > > > index sambaPrimaryGroupSID eq > > > index sambaDomainName eq > > > sizelimit -1 > > > cachesize 10000 > > > > > > > > > file > > > /etc/openldap/ldap.conf server-client > > > > > > BASE dc=unipa,dc=it > > > TLS_CACERTDIR /etc/openldap/cacerts > > > URI ldap://127.0.0.1/ > > > URI ldaps://147.163.110.190:636/ > > > > Sei sicuro che si possano metteredue direttive URI? Non si mettono i > > > due server sulla stessa riga separati da spazi o da virgole (non > > ricordo, bisogna leggere il man)? > > ok l'ho corretta > > > > TLS_CERT /etc/ssl/ldap-cert.pem > > > TLS_CACERT /etc/ssl/ldap-cert-client.pem > > > > > > > > > riavviando il servizio ldap sul server, monitorando il log sul > client > > > ricevo questo messaggio > > > > > > > > > Feb 3 17:42:48 s...@backup02.cupa.unipa.it slapd[2687]: conn=156 > fd=19 > > > ACCEPT from IP=147.163.110.190:56381 (IP=0.0.0.0:636) > > > Feb 3 17:42:48 s...@backup02.cupa.unipa.it slapd[2687]: conn=156 > fd=19 > > > TLS established tls_ssf=256 ssf=256 > > > Feb 3 17:42:48 s...@backup02.cupa.unipa.it slapd[2687]: conn=156 > fd=19 > > > closed (connection lost) > > ricevo sempre lo stesso messaggio sul client, mentre sul server non > ricevo nulla > > > > > > > Questo log indica che la controparte diffida del certificato > > dell'host di cui leggiamo il log e interrompe la comunicazione. Sui > > > log della controparte vedrai meglio gli errori SSL che portano > > all'abort della connessione. > > > > Scusa se mi introduco solo ora, quindi ti farò ripetere cose che hai > > > gia' dette: > > 1) hai provato a fare sul server: ldapsearch -x -H ldaps://client e > > > viceversa sul client? > > il messaggio che ricevo di risposta è il seguente (sia dal client che > dal server) > > digitando dal server (192.168.110.190) > ldapsearch -x -H ldaps://147.163.110.191 > > ricevo > > ldap_bind: Can't contact LDAP server (-1) > additional info: TLS: hostname does not match CN in peer certificate > > e sul client ricevo > > Feb 4 11:32:22 s...@backup02.cupa.unipa.it slapd[5048]: conn=4 fd=12 > ACCEPT > from IP=147.163.110.190:60413 (IP=0.0.0.0:636) > Feb 4 11:32:22 s...@backup02.cupa.unipa.it slapd[5048]: conn=4 fd=12 > TLS > established tls_ssf=256 ssf=256 > Feb 4 11:32:22 s...@backup02.cupa.unipa.it slapd[5048]: conn=4 fd=12 > closed > (connection lost) > > > > > 2) i certificati digitali li hai testati con i servizi da linea di > > comando di openssl, ad esempio openssl s_client -connect > > tuoserverweb:433 -cert tuo_cert - key tua_chiave (anche qui > > controlla la sintassi sul man) > > testati e, non sto a riportarti tutto quello che è venuto fuori a meno > che non > sia utile, mi risponde che i certificati, fra l'altro, sono > autofirmati, ma > non è giusto cosi? > > Grazie per l'aiuto > Luigi > > > > > Ciao, > > > > Francesco > ------- End of Original Message ------- > > > > _______________________________________________ > OpenLDAP mailing list > OpenLDAP@mail.sys-net.it > https://www.sys-net.it/mailman/listinfo/openldap Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it ----------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Fax: +39 0382 476497 Email: a...@sys-net.it -----------------------------------
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
