Gilberto Casiraghi wrote:
Ciao,
no riesco a mandare i log via email anche se sono solo 100KB e non ho un
sito web
per pubblicarli, facciamo la cosa più semplice, non hai una email
alternativa ?
A me la mail e' arrivata, e' alla lista che non arriva se troppo grossa.
Comunque i tuoi log al 95% sono dovuti al fatto che il tuo DB e'
grosso e l'attributo mail non e' indicizzato, quindi niente di rilevante
per il tuo problema. Se trimmi quella parte si riducono a pochi kB.
Tieni presente che quello che mi hai mandato e' l'elenco di quasi 3000
persone che lavorano per una nota societa', non so se e' il caso di
mandarlo ad una lista pubblica...
Non voglio ovviamente coinvolgerti nella config. del Juniper (altro "client"
un po’ particolare),
vorrei però riuscire a fare funzionare Outlook, il minimo !
A me il minimo sembra ldapsearch, visto che ti puo' dire che cosa e'
andato storto e ti consente di settare tutti i parametri. Outlook per
me e' una scatola nera (e comunque non ricordo di averlo usato, figurati
configurare LDAP...)
(se trovo la soluzione per quello è probabile che risolvo anche il problema
di Juniper)
Nei logs che ti manderò trovi il log file del server, per generarli ho
lanciato lo slapd in questo modo:
/usr/local/libexec/slapd -h "ldaps:/// ldap:///"; -d-1 >slap_server.log 2>&1
&
Il file slapd_var.log è quello generato dal syslogd.
Ho fatto 2 prove:
- la prima con ldapsearch:
ldapsearch -x -H ldap://192.168.0.39 -b "dc=Candy, dc=Group"
"(mail=gcasira...@candy.it)" -LLL -Z
l' errore che ho è questo:
ldap_start_tls: Connect error (-11)
ldap_result: Can't contact LDAP server (-1)
A quanto pare, il server tenta di verificare il certificato del client,
ma non riconosce la CA che l'ha firmato (se c'e' un certificato del
client, questo non e' chiaro). La parte rilevante e'
daemon: activity on 1 descriptor
daemon: activity on: 13r
daemon: read activity on 13
daemon: select: listen=6 active_threads=0 tvp=NULL
daemon: select: listen=7 active_threads=0 tvp=NULL
connection_get(13)
connection_get(13): got connid=1
connection_read(13): checking for input on id=1
tls_read: want=5, got=5
0000: 15 03 01 00 02 .....
tls_read: want=2, got=2
0000: 02 30 .0
TLS trace: SSL3 alert read:fatal:unknown
TLS trace: SSL_accept:failed in SSLv3 read client certificate A
TLS: can't accept.
TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
s3_pkt.c:964
connection_read(13): TLS accept failure error=-1 id=1, closing
connection_closing: readying conn=1 sd=13 for close
connection_close: deferring conn=1 sd=13
e l'errore e' "alert unknown ca". Strano, perche' a quanto pare il
server non e' configurato per cercare di verificarlo. Che versione di
OpenLDAP usi?
- la seconda con Outlook, semplice ricerca di un nome. L' errore sul server
è questo:
"Mar 3 15:08:46 clone-giasmail2 slapd[3774]: conn=6 fd=13 ACCEPT
from IP=192.168.0.101:1918 (IP=0.0.0.0:636)"
Non mi sembra tanto un errore: sta dicendo che accetta una connessione...
L'errore con Outlook e' questo:
daemon: activity on 1 descriptor
slap_listener_activate(6):
daemon: select: listen=6 busy
daemon: select: listen=7 active_threads=0 tvp=NULL
>>> slap_listener(ldaps:///)
daemon: listen=6, new connection on 13
daemon: added 13r (active) listener=(nil)
conn=4 fd=13 ACCEPT from IP=192.168.0.39:32832 (IP=0.0.0.0:636)
daemon: activity on 1 descriptor
daemon: waked
daemon: select: listen=6 active_threads=0 tvp=NULL
daemon: select: listen=7 active_threads=0 tvp=NULL
daemon: activity on 1 descriptor
daemon: activity on: 13r
daemon: read activity on 13
daemon: select: listen=6 active_threads=0 tvp=NULL
daemon: select: listen=7 active_threads=0 tvp=NULL
connection_get(13)
connection_get(13): got connid=4
connection_read(13): checking for input on id=4
TLS trace: SSL_accept:before/accept initialization
tls_read: want=11, got=11
0000: 30 1d 02 01 01 77 18 80 16 31 2e 0....w...1.
TLS trace: SSL_accept:error in SSLv2/v3 read client hello A
TLS: can't accept.
TLS: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
s23_srvr.c:565
connection_read(13): TLS accept failure error=-1 id=4, closing
connection_closing: readying conn=4 sd=13 for close
Evidentemente Outlook parla una versione di SSL che slapd non capisce.
Il motivo non e' chiaro. Comunque mi sembra di capire che provare con
Outlook non sia la strada piu' semplice.
mentre sul client "Impossibile connettersi al servizio di elenchi in linea
specificato"
Come ti dicevo, mi sembra che Outlook sia in grado di dare un aiuto
sostanziale alla soluzione del prolema :).
Per quanto riguarda i certificati, lato server ho seguito alla lettera
quanto indicato in
http://www.openldap.org/faq/data/cache/185.html
fino alla parte dove si configura lo slapd.conf
Quindi:
- creazione certificato CA
- creazione richiesta certificato per server
- generazione certificato per server e sua firma da parte della CA
- configurazione slapd con:
- TLSCACertificateFile
- TLSCertificateFile
- TLSCertificateKeyFile
Mentre sul client non ho installato nulla (come dovrei fare eventualmente
?!?)
man ldap.conf(5).
Domanda: tu non hai avuto nessun problema a configurare ldaps su outlook ?
Mai usato.
Ciao, p.
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Fax: +39 0382 476497
Email: a...@sys-net.it
-----------------------------------
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
