Ciao,
mi puoi fare copia e incolla di quello che ti arriva lanciando questo
comando?
openssl s_client -connect 10.5.7.1:636
Puo' essere appunto che il client non riconosca valido il certificato. Con
quel comando scopri qualcosa.
Puo' essere che il problema risieda nel fatto che la certification authority
che ha emesso quel certificato non sia riconosciuta fidata (trusted) dal
client.
Fammi copia e incolla e poi andiamo avanti con l'analisi.
Ciao
Marco
2010/8/31 Marco Gaiarin <g...@sv.lnf.it>
>
> Nel mio dominio ho creato una VLAN a cui ho assegnato il sottodominio
> ''corsi.sv.lnf.it'' e la sottorete 10.5.7.0/24.
>
> A gestire la sottorete c'è un serverino linux/samba/ldap che ha un
> indirizzo nella rete principale (10.5.1.7/16) e uno nella VLAN
> (10.5.7.1/24).
> Il server ldap sul serverino ha un certificato, come per tutti gli
> altri, che usa wirldcard per per il subject alt name, e slapd è
> eseguito con:
>
> openldap 28363 0.0 0.6 102220 13580 ? Ssl Jul30 15:37
> /usr/sbin/slapd -h ldapi:/// ldap://127.0.0.1/ ldaps:/// -g openldap -u
> openldap -f /etc/ldap/slapd.conf
>
> Orbene, se interrogo con una semplice query dalla rete principale ottengo:
>
> g...@lily:~$ ldapsearch -x -H ldaps://ldap.corsi.sv.lnf.it -b
> dc=corsi,dc=sv,dc=lnf,dc=it "(uid=gaio)"
> ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
>
> lato serverino/gateway:
>
> mouse:~# tshark -i eth0 port ldaps
> Running as user "root" and group "root". This could be dangerous.
> Capturing on eth0
> 0.000000 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [SYN] Seq=0
> Win=5840 Len=0 MSS=1460 TSV=3144276 TSER=0 WS=7
> 0.000053 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [SYN, ACK] Seq=0
> Ack=1 Win=5792 Len=0 MSS=1460 TSV=1663072969 TSER=3144276 WS=6
> 0.000145 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=1 Ack=1
> Win=5888 Len=0 TSV=3144276 TSER=1663072969
> 0.004887 10.5.1.18 -> 10.5.7.1 SSL Client Hello
> 0.004911 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [ACK] Seq=1
> Ack=94 Win=5824 Len=0 TSV=1663072971 TSER=3144277
> 0.005153 10.5.7.1 -> 10.5.1.18 TLSv1.1 Server Hello
> 0.005207 10.5.7.1 -> 10.5.1.18 TCP [TCP segment of a reassembled
> PDU]
> 0.005308 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=94
> Ack=80 Win=5888 Len=0 TSV=3144277 TSER=1663072971
> 0.005324 10.5.7.1 -> 10.5.1.18 TLSv1.1 Certificate
> 0.005328 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=94
> Ack=1528 Win=8832 Len=0 TSV=3144277 TSER=1663072971
> 0.005387 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=94
> Ack=2055 Win=11648 Len=0 TSV=3144277 TSER=1663072971
> 0.008002 10.5.1.18 -> 10.5.7.1 TLSv1.1 Client Key Exchange
> 0.008014 10.5.1.18 -> 10.5.7.1 TLSv1.1 Change Cipher Spec
> 0.009863 10.5.1.18 -> 10.5.7.1 TLSv1.1 Encrypted Handshake Message
> 0.009880 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [ACK] Seq=2055
> Ack=740 Win=6912 Len=0 TSV=1663072972 TSER=3144277
> 0.306825 10.5.7.1 -> 10.5.1.18 TLSv1.1 Change Cipher Spec
> 0.307087 10.5.7.1 -> 10.5.1.18 TLSv1.1 Encrypted Handshake Message
> 0.307236 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [ACK] Seq=740
> Ack=2178 Win=11648 Len=0 TSV=3144307 TSER=1663073046
> 0.312695 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [FIN, ACK]
> Seq=740 Ack=2178 Win=11648 Len=0 TSV=3144307 TSER=1663073046
> 0.312886 10.5.7.1 -> 10.5.1.18 TLSv1.1 Encrypted Alert
> 0.312904 10.5.7.1 -> 10.5.1.18 TCP ldaps > 60060 [FIN, ACK]
> Seq=2247 Ack=741 Win=6912 Len=0 TSV=1663073048 TSER=3144307
> 0.312988 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [RST] Seq=741
> Win=0 Len=0
> 0.313007 10.5.1.18 -> 10.5.7.1 TCP 60060 > ldaps [RST] Seq=741
> Win=0 Len=0
> ^C23 packets captured
>
> Sto letteralmente impazzendo... dove sbaglio?
>
>
> Grazie.
>
> --
> dott. Marco Gaiarin GNUPG Key ID: 240A3D66
> Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
> Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
> marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
>
> Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
> http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
> (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
>
> _______________________________________________
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
>
--
_________________________________________
Non è forte chi non cade, ma chi cadendo ha la forza di rialzarsi.
Jim Morrison
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
