[samba] smbldap-tools + (SSL or TLS)

Maks Re admaks на gmail.com
Чт Май 11 20:23:19 MSD 2006


hello

я  поднял на машинке ЛДАП,
для безопасности его заставил работать как
ldap://127.0.0.1
ldaps:///
т.е. 389 доступен только с localhost
а весь остальной мир - пусть стучится на 636

проверяю - с клиента (другой хост)
(предварительно создал сертификатов кучу... свой CA, сертификаты для
сервисов... распространил CA)
конекчусь... все ОК, т.е. я могу подконекитлся...

не настраивая sasl у меня конектится с mesh=LOGIN....

и вот трабла...

пока не боролся с безопасностью...
пакет smbldap-tools работал великолепно...
читал из лдап, писал в лдап... (да, конектился на 389, ибо он только и
был работающим)

после того как я перевел на 636, не смог заставить работать smblda-tools...
для для работы с лдап...

те я выставил в конфиге где брать сертификаты, что использую TLS (не
уверен что он у меня работает, как проверить тоже еще не накопал....
но
$ldapsearch -H ldaps:///my.ldap.host -Y LOGIN uid=user
проходит... правда пароль спрашивают )

а вот при таких успехах ldapsearch,
$smbldap-usershow user
уже не работает...
пошит всяку фигню...
мой вывод - как-то он не правильно конектится на лдап...

-если указать порт в конфиге для smbldap-tools как 389 - не
конектимся, т.к. идем не на localhost

-если указать порт в конфиге для smbldap-tools как 636 - не конектимся,
I/O Error   at /usr/local/sbin///smbldap_tools.pm line 772, <DATA> line 283.

--если указать порт в конфиге для smbldap-tools как 636, ldapTLS=1 -
не конектимся
Can't locate IO/Socket/SSL.pm in @INC (@INC contains:
/usr/local/sbin// /usr/lib/perl5/5.8.5/i386-linux-thread-multi
/usr/lib/perl5/5.8.5
/usr/lib/perl5/site_perl/5.8.5/i386-linux-thread-multi
/usr/lib/perl5/site_perl/5.8.4/i386-linux-thread-multi
/usr/lib/perl5/site_perl/5.8.3/i386-linux-thread-multi
/usr/lib/perl5/site_perl/5.8.2/i386-linux-thread-multi
/usr/lib/perl5/site_perl/5.8.1/i386-linux-thread-multi
/usr/lib/perl5/site_perl/5.8.0/i386-linux-thread-multi
/usr/lib/perl5/site_perl/5.8.5 /usr/lib/perl5/site_perl/5.8.4
/usr/lib/perl5/site_perl/5.8.3 /usr/lib/perl5/site_perl/5.8.2
/usr/lib/perl5/site_perl/5.8.1 /usr/lib/perl5/site_perl/5.8.0
/usr/lib/perl5/site_perl
/usr/lib/perl5/vendor_perl/5.8.5/i386-linux-thread-multi
/usr/lib/perl5/vendor_perl/5.8.4/i386-linux-thread-multi
/usr/lib/perl5/vendor_perl/5.8.3/i386-linux-thread-multi
/usr/lib/perl5/vendor_perl/5.8.2/i386-linux-thread-multi
/usr/lib/perl5/vendor_perl/5.8.1/i386-linux-thread-multi
/usr/lib/perl5/vendor_perl/5.8.0/i386-linux-thread-multi
/usr/lib/perl5/vendor_perl/5.8.5 /usr/lib/perl5/vendor_perl/5.8.4
/usr/lib/perl5/vendor_perl/5.8.3 /usr/lib/perl5/vendor_perl/5.8.2
/usr/lib/perl5/vendor_perl/5.8.1 /usr/lib/perl5/vendor_perl/5.8.0
/usr/lib/perl5/vendor_perl .) at
/usr/lib/perl5/vendor_perl/5.8.5/Net/LDAP.pm line 920.


я уж не знаю... в каком месте я дурак...

что скажет всезнающий all?

во общем как заставить работать smbldap-tools при условии что ldap на
другом серваке и хочется защищенности.

спасибо...

-- 
С уважением,
  Макс.


Подробная информация о списке рассылки Samba