Ciao, mi venuto un dubbio facendo ulteriori ricerche su internet: in fase di installazione di openldap è necessario lanciare il configure con parametri relativi all' ssl ?
Il configure l'ho lanciato in questo modo: LDFLAGS="-L/usr/local/BerkeleyDB.4.6/lib -L/usr/local/lib/sasl2/lib" CPPFLAGS="-I/usr/local/BerkeleyDB.4.6/include -I/usr/local/include/sasl" ./configure Ho trovato una nota (www.raphinou.com/ldaps/LDAP-SSL.HOWTO) dove si dice di utilizzare l' opzione "--with-tls". Può essere la soluzione ? Come faccio a passare il parametro "openssl" ? La versione di Openldap è la 2.4.11, mentre l' openssl l' ho aggiornato in "corsa", ora ho la 0.9.8j (prima la 0.96xx del 2001!). ps: grazie per la nota sull' elenco di nomi presenti nel log ! ero talmente preso dal problema che non ho pensato alla riservatezza dei dati ! cestina per cortesia quei dati. Gilberto. -----Messaggio originale----- Da: Pierangelo Masarati [mailto:a...@sys-net.it] Inviato: martedì 3 marzo 2009 18:15 A: Gilberto Casiraghi Cc: 'openldap' Oggetto: Re: R: [OpenLDAP] Configurazione LDAPS Gilberto Casiraghi wrote: > Ciao, > > no riesco a mandare i log via email anche se sono solo 100KB e non ho un > sito web > per pubblicarli, facciamo la cosa più semplice, non hai una email > alternativa ? A me la mail e' arrivata, e' alla lista che non arriva se troppo grossa. Comunque i tuoi log al 95% sono dovuti al fatto che il tuo DB e' grosso e l'attributo mail non e' indicizzato, quindi niente di rilevante per il tuo problema. Se trimmi quella parte si riducono a pochi kB. Tieni presente che quello che mi hai mandato e' l'elenco di quasi 3000 persone che lavorano per una nota societa', non so se e' il caso di mandarlo ad una lista pubblica... > Non voglio ovviamente coinvolgerti nella config. del Juniper (altro "client" > un po particolare), > vorrei però riuscire a fare funzionare Outlook, il minimo ! A me il minimo sembra ldapsearch, visto che ti puo' dire che cosa e' andato storto e ti consente di settare tutti i parametri. Outlook per me e' una scatola nera (e comunque non ricordo di averlo usato, figurati configurare LDAP...) > (se trovo la soluzione per quello è probabile che risolvo anche il problema > di Juniper) > > Nei logs che ti manderò trovi il log file del server, per generarli ho > lanciato lo slapd in questo modo: > /usr/local/libexec/slapd -h "ldaps:/// ldap:///"; -d-1 >slap_server.log 2>&1 > & > > Il file slapd_var.log è quello generato dal syslogd. > > Ho fatto 2 prove: > - la prima con ldapsearch: > ldapsearch -x -H ldap://192.168.0.39 -b "dc=Candy, dc=Group" > "(mail=gcasira...@candy.it)" -LLL -Z > l' errore che ho è questo: > ldap_start_tls: Connect error (-11) > ldap_result: Can't contact LDAP server (-1) A quanto pare, il server tenta di verificare il certificato del client, ma non riconosce la CA che l'ha firmato (se c'e' un certificato del client, questo non e' chiaro). La parte rilevante e' daemon: activity on 1 descriptor daemon: activity on: 13r daemon: read activity on 13 daemon: select: listen=6 active_threads=0 tvp=NULL daemon: select: listen=7 active_threads=0 tvp=NULL connection_get(13) connection_get(13): got connid=1 connection_read(13): checking for input on id=1 tls_read: want=5, got=5 0000: 15 03 01 00 02 ..... tls_read: want=2, got=2 0000: 02 30 .0 TLS trace: SSL3 alert read:fatal:unknown TLS trace: SSL_accept:failed in SSLv3 read client certificate A TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:964 connection_read(13): TLS accept failure error=-1 id=1, closing connection_closing: readying conn=1 sd=13 for close connection_close: deferring conn=1 sd=13 e l'errore e' "alert unknown ca". Strano, perche' a quanto pare il server non e' configurato per cercare di verificarlo. Che versione di OpenLDAP usi? > - la seconda con Outlook, semplice ricerca di un nome. L' errore sul server > è questo: > "Mar 3 15:08:46 clone-giasmail2 slapd[3774]: conn=6 fd=13 ACCEPT > from IP=192.168.0.101:1918 (IP=0.0.0.0:636)" Non mi sembra tanto un errore: sta dicendo che accetta una connessione... L'errore con Outlook e' questo: daemon: activity on 1 descriptor slap_listener_activate(6): daemon: select: listen=6 busy daemon: select: listen=7 active_threads=0 tvp=NULL >>> slap_listener(ldaps:///) daemon: listen=6, new connection on 13 daemon: added 13r (active) listener=(nil) conn=4 fd=13 ACCEPT from IP=192.168.0.39:32832 (IP=0.0.0.0:636) daemon: activity on 1 descriptor daemon: waked daemon: select: listen=6 active_threads=0 tvp=NULL daemon: select: listen=7 active_threads=0 tvp=NULL daemon: activity on 1 descriptor daemon: activity on: 13r daemon: read activity on 13 daemon: select: listen=6 active_threads=0 tvp=NULL daemon: select: listen=7 active_threads=0 tvp=NULL connection_get(13) connection_get(13): got connid=4 connection_read(13): checking for input on id=4 TLS trace: SSL_accept:before/accept initialization tls_read: want=11, got=11 0000: 30 1d 02 01 01 77 18 80 16 31 2e 0....w...1. TLS trace: SSL_accept:error in SSLv2/v3 read client hello A TLS: can't accept. TLS: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol s23_srvr.c:565 connection_read(13): TLS accept failure error=-1 id=4, closing connection_closing: readying conn=4 sd=13 for close Evidentemente Outlook parla una versione di SSL che slapd non capisce. Il motivo non e' chiaro. Comunque mi sembra di capire che provare con Outlook non sia la strada piu' semplice. > mentre sul client "Impossibile connettersi al servizio di elenchi in linea > specificato" Come ti dicevo, mi sembra che Outlook sia in grado di dare un aiuto sostanziale alla soluzione del prolema :). > Per quanto riguarda i certificati, lato server ho seguito alla lettera > quanto indicato in > http://www.openldap.org/faq/data/cache/185.html > fino alla parte dove si configura lo slapd.conf Quindi: - creazione certificato CA - creazione richiesta certificato per server - generazione certificato per server e sua firma da parte della CA - configurazione slapd con: - TLSCACertificateFile - TLSCertificateFile - TLSCertificateKeyFile > Mentre sul client non ho installato nulla (come dovrei fare eventualmente > ?!?) man ldap.conf(5). > Domanda: tu non hai avuto nessun problema a configurare ldaps su outlook ? Mai usato. Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it ----------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Fax: +39 0382 476497 Email: a...@sys-net.it ----------------------------------- ______________________________________________________________________ This email has been scanned by the Candy Group Email Security System. ______________________________________________________________________ Before printing this message, please make sure this is absolutely necessary. Protecting the environment depends on you too! ______________________________________________________________________ ______________________________________________________________________ This email has been scanned by the Candy Group Email Security System. ______________________________________________________________________ Before printing this message, please make sure this is absolutely necessary. Protecting the environment depends on you too! ______________________________________________________________________ _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
