[sisyphus] LDAP грабли

Dmitry Lebkov =?iso-8859-1?q?dima_=CE=C1_sakhalin=2Eru?=
Ср Янв 5 18:53:42 MSK 2005 

Artem wrote:
> Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3
> Все настроено и работает отлично, грабли возникают при переходе на TLS -
> соединения с ним.
> Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert  подписан,
> естеснно, ca.cert
> Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в
> slapd.conf
> 
> Cтартую - все ок (за небольшим исключением, об этом позже).
> LDAP слушает на 389-м:
> tcp        0      0 0.0.0.0:389             0.0.0.0:*
> LISTEN      3927/slapd
> 
> Пробуем соединиться:
> ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z
> 
> В ответ:
> ldap_start_tls: Connect error (91)
> ldap_sasl_interactive_bind_s: Can't contact LDAP server (81)
> 
> Из gq - то же самое..

Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
tls_reqcert never


> Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap
> SLAPDURLLIST="ldap:/// ldaps:///"
Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
еще и в одинарные кавычки.

SLAPDURLLIST="'ldap:/// ldaps:///'"

> 
> и вывод ps:
> ldap      3927  0.0  1.3 11420 3452 ?        S    14:52   0:00
> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> netstat показывает вот что:
> [root на axis sysconfig]# netstat -ltnp
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State       PID/Program name
> .....
> tcp        0      0 0.0.0.0:389             0.0.0.0:*
> LISTEN      3927/slapd
> ......
> А 636 - го порта нигде не видно (ldaps:///)
> Но если запускать из командной строки вроде:
> slapd -h "ldap:/// ldaps:///" - то все ок...
> 
> Вопросы:
> Что за грабли с TLS и как мне засекурить коннект?
Насколько я понимаю, в OpenSSL изменилось поведение по-умолчанию
для клиентских сертификатов.

> Почему такое странное поведение с параметрами -h ?

Потому, что параметорм для ключа считается вся строка до первого
пробела. Если значение содержит пробел - заключай строку в кавычки.

--
WBR, Dmitry Lebkov

Подробная информация о списке рассылки Sisyphus