Re: [OpenLDAP] connessione ssl non riesco a risolvere

Luigi Augello Wed, 04 Feb 2009 02:40:49 -0800

---------- Original Message -----------
From: Francesco Malvezzi <francesco.malve...@unimore.it>
To: Luigi Augello <luigi.auge...@unipa.it>
Sent: Wed, 04 Feb 2009 08:34:37 +0100
Subject: Re: [OpenLDAP] connessione ssl non riesco a risolvere

> Luigi Augello ha scritto:
> > Salve alla lista
> > Non ho ancora risolto il problema, nonostante  i suggerimenti di
> > Pierangelo. I file di configurazione sono i seguenti:
> > 
> >                                                                             
> > file /etc/openldap/slapd.conf server-master
> > 
> > 
> > #
> > # See slapd.conf(5) for details on configuration options.
> > # This file should NOT be world readable.
> > #
> > include        /etc/openldap/schema/core.schema
> > include        /etc/openldap/schema/cosine.schema
> > include        /etc/openldap/schema/inetorgperson.schema
> > include        /etc/openldap/schema/nis.schema
> > include        /etc/openldap/schema/samba.schema
> > pidfile         /var/run/slapd/slapd.pid
> > argsfile        /var/run/slapd/slapd.args
> > TLSCertificateFile /etc/ssl/ldap-cert.pem
> > TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem
> > TLSCACertificateFile /etc/ssl/ldap-cert-client.pem
> 
> Qui sopra non potresti mettere la CA che ha emesso i certificati sia 
> del client che del server? Oppure sono self-signed?

Sono self signed e probabilmente sbaglio in questo, ma non dispongo di una
autorità per firmarli? 

TLSCertificateFile /etc/ssl/ldap-cert.pem 
è il certificato generato sulla macchina

TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem 
la chiave generata sulla macchia

TLSCACertificateFile /etc/ssl/ldap-cert-client.pem
il certificato dell'altra macchina (il client su server e viceversa)

> 
> > TLSVerifyClient  demand
> 
> Questa direttiva non serve se non per autenticare il mittente con 
> SASL TLS/EXTERNAL, io la terrei fuori.

ok Disabilitata

> > log level 2048
> > database    ldbm
> > replogfile /var/lib/ldap/openldap-master-replog
> > replica uri=ldaps://147.163.110.191:636
> > binddn="cn=AGSManager,dc=unipa,dc=it" bindmethod=simple credentials=test
> > suffix         "dc=unipa,dc=it"
> > rootdn        "cn=Manager,dc=unipa,dc=it"
> > rootpw  test
> > directory    /var/lib/ldap
> > # Indices to maintain for this database
> > index objectClass                           eq
> > index uid,uidNumber,gidNumber,memberUid        eq
> > index cn,mail,surname,givenname              eq,subinitial
> > index sambaSid                            eq
> > index sambaPrimaryGroupSID                    eq
> > index sambaDomainName                        eq
> > sizelimit -1
> > cachesize 10000
> > 
> > 
> >                                                                    file
> > /etc/openldap/ldap.conf server-master
> > 
> > 
> > BASE dc=unipa,dc=it
> > URI ldap://127.0.0.1/
> > URI ldaps://localhost:636/
> > URI ldaps://147.163.110.191:636/
> > TLS_CERT /etc/ssl/ldap-cert.pem
> > TLS_CACERT /etc/ssl/ldap-cert-client.pem
> > 
> > 
> >                                                                             
> > file /etc/openldap/slapd.conf server-client
> > 
> > 
> > 
> > include        /etc/openldap/schema/core.schema
> > include        /etc/openldap/schema/cosine.schema
> > include        /etc/openldap/schema/inetorgperson.schema
> > include        /etc/openldap/schema/nis.schema
> > include        /etc/openldap/schema/samba.schema
> > allow bind_v2
> > pidfile         /var/run/slapd/slapd.pid
> > argsfile        /var/run/slapd/slapd.args
> > database    ldbm
> > suffix         "dc=unipa,dc=it"
> > rootdn        "cn=Manager,dc=unipa,dc=it"
> > rootpw test
> > updatedn "cn=Manager,dc=unipa,dc=it"
> > updateref       ldaps://147.163.110.190:636
> 
> Se metti ldaps, specificare la porta 636 e' pleonastico

a posto
> 
> > directory    /var/lib/ldap
> > TLSCertificateFile /etc/ssl/ldap-cert.pem
> > TLSCertificateKeyFile /etc/openldap/ssl/ldap-key.pem
> > TLSCACertificateFile /etc/ssl/ldap-cert-client.pem
> > #TLSVerifyClient  demand
> > log level 2048
> > index objectClass                           eq
> > index uid,uidNumber,gidNumber,memberUid        eq
> > index cn,mail,surname,givenname              eq,subinitial
> > index sambaSid                            eq
> > index sambaPrimaryGroupSID                    eq
> > index sambaDomainName                        eq
> > sizelimit -1
> > cachesize 10000
> > 
> > 
> >                                                file
> > /etc/openldap/ldap.conf server-client
> > 
> > BASE dc=unipa,dc=it
> > TLS_CACERTDIR /etc/openldap/cacerts
> > URI ldap://127.0.0.1/
> > URI ldaps://147.163.110.190:636/
> 
> Sei sicuro che si possano metteredue direttive URI? Non si mettono i 
> due server sulla stessa riga separati da spazi o da virgole (non 
> ricordo, bisogna leggere il man)?

ok l'ho corretta
 
> > TLS_CERT /etc/ssl/ldap-cert.pem
> > TLS_CACERT /etc/ssl/ldap-cert-client.pem
> > 
> > 
> > riavviando il servizio ldap sul server, monitorando il log sul client
> > ricevo questo messaggio
> > 
> > 
> > Feb  3 17:42:48 s...@backup02.cupa.unipa.it slapd[2687]: conn=156 fd=19
> > ACCEPT from IP=147.163.110.190:56381 (IP=0.0.0.0:636)
> > Feb  3 17:42:48 s...@backup02.cupa.unipa.it slapd[2687]: conn=156 fd=19
> > TLS established tls_ssf=256 ssf=256
> > Feb  3 17:42:48 s...@backup02.cupa.unipa.it slapd[2687]: conn=156 fd=19
> > closed (connection lost)

ricevo sempre lo stesso messaggio sul client, mentre sul server non ricevo nulla



> 
> Questo log indica che la controparte diffida del certificato 
> dell'host di cui leggiamo il log e interrompe la comunicazione. Sui 
> log della controparte vedrai meglio gli errori SSL che portano 
> all'abort della connessione.
> 
> Scusa se mi introduco solo ora, quindi ti farò ripetere cose che hai 
> gia' dette:
> 1) hai provato a fare sul server:  ldapsearch -x -H ldaps://client e 
> viceversa sul client?

il messaggio che ricevo di risposta è il seguente (sia dal client che dal 
server)

digitando dal server (192.168.110.190)
 ldapsearch -x -H ldaps://147.163.110.191

ricevo

ldap_bind: Can't contact LDAP server (-1) 
additional info: TLS: hostname does not match CN in peer certificate

e sul client ricevo

Feb  4 11:32:22 s...@backup02.cupa.unipa.it slapd[5048]: conn=4 fd=12 ACCEPT
from IP=147.163.110.190:60413 (IP=0.0.0.0:636)
Feb  4 11:32:22 s...@backup02.cupa.unipa.it slapd[5048]: conn=4 fd=12 TLS
established tls_ssf=256 ssf=256
Feb  4 11:32:22 s...@backup02.cupa.unipa.it slapd[5048]: conn=4 fd=12 closed
(connection lost)



> 2) i certificati digitali li hai testati con i servizi da linea di 
> comando di openssl, ad esempio openssl s_client -connect 
> tuoserverweb:433 -cert tuo_cert - key tua_chiave (anche qui 
> controlla la sintassi sul man)

testati e, non sto a riportarti tutto quello che è venuto fuori a meno che non
sia utile, mi risponde che i certificati, fra l'altro,  sono autofirmati, ma
non è giusto cosi?

Grazie per l'aiuto 
Luigi 

> 
> Ciao,
> 
> Francesco
------- End of Original Message -------



_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] connessione ssl non riesco a risolvere

Rispondere a
