Nel mio dominio ho creato una VLAN a cui ho assegnato il sottodominio ''corsi.sv.lnf.it'' e la sottorete 10.5.7.0/24.
A gestire la sottorete c'è un serverino linux/samba/ldap che ha un indirizzo nella rete principale (10.5.1.7/16) e uno nella VLAN (10.5.7.1/24). Il server ldap sul serverino ha un certificato, come per tutti gli altri, che usa wirldcard per per il subject alt name, e slapd è eseguito con: openldap 28363 0.0 0.6 102220 13580 ? Ssl Jul30 15:37 /usr/sbin/slapd -h ldapi:/// ldap://127.0.0.1/ ldaps:/// -g openldap -u openldap -f /etc/ldap/slapd.conf Orbene, se interrogo con una semplice query dalla rete principale ottengo: g...@lily:~$ ldapsearch -x -H ldaps://ldap.corsi.sv.lnf.it -b dc=corsi,dc=sv,dc=lnf,dc=it "(uid=gaio)" ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) lato serverino/gateway: mouse:~# tshark -i eth0 port ldaps Running as user "root" and group "root". This could be dangerous. Capturing on eth0 0.000000 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=3144276 TSER=0 WS=7 0.000053 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1663072969 TSER=3144276 WS=6 0.000145 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=3144276 TSER=1663072969 0.004887 10.5.1.18 -> 10.5.7.1 SSL Client Hello 0.004911 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [ACK] Seq=1 Ack=94 Win=5824 Len=0 TSV=1663072971 TSER=3144277 0.005153 10.5.7.1 -> 10.5.1.18 TLSv1.1 Server Hello 0.005207 10.5.7.1 -> 10.5.1.18 TCP [TCP segment of a reassembled PDU] 0.005308 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=94 Ack=80 Win=5888 Len=0 TSV=3144277 TSER=1663072971 0.005324 10.5.7.1 -> 10.5.1.18 TLSv1.1 Certificate 0.005328 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=94 Ack=1528 Win=8832 Len=0 TSV=3144277 TSER=1663072971 0.005387 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=94 Ack=2055 Win=11648 Len=0 TSV=3144277 TSER=1663072971 0.008002 10.5.1.18 -> 10.5.7.1 TLSv1.1 Client Key Exchange 0.008014 10.5.1.18 -> 10.5.7.1 TLSv1.1 Change Cipher Spec 0.009863 10.5.1.18 -> 10.5.7.1 TLSv1.1 Encrypted Handshake Message 0.009880 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [ACK] Seq=2055 Ack=740 Win=6912 Len=0 TSV=1663072972 TSER=3144277 0.306825 10.5.7.1 -> 10.5.1.18 TLSv1.1 Change Cipher Spec 0.307087 10.5.7.1 -> 10.5.1.18 TLSv1.1 Encrypted Handshake Message 0.307236 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=740 Ack=2178 Win=11648 Len=0 TSV=3144307 TSER=1663073046 0.312695 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [FIN, ACK] Seq=740 Ack=2178 Win=11648 Len=0 TSV=3144307 TSER=1663073046 0.312886 10.5.7.1 -> 10.5.1.18 TLSv1.1 Encrypted Alert 0.312904 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [FIN, ACK] Seq=2247 Ack=741 Win=6912 Len=0 TSV=1663073048 TSER=3144307 0.312988 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [RST] Seq=741 Win=0 Len=0 0.313007 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [RST] Seq=741 Win=0 Len=0 ^C23 packets captured Sto letteralmente impazzendo... dove sbaglio? Grazie. -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/chi_siamo/5xmille.php (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA) _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
