Hallo zusammen,
auf unserem Ubuntu-Server in der Schule läuft seit zwei Jahren ein openLDAP. Seit zwei Tagen (wohl seit dem Let's Encrypt ein neues Zertifikat erstellt hat) geht jedoch der LDAPS-Zugang (Port 636) nicht mehr...
Habe zur Installation eine Anleitung für Kollegen geschrieben, die man sich hier anschauen kann. Hier ein paar Ausgaben, damit man sich ein Bild machen kann. Eingaben auf dem Server:
1 2 3 | root@ldapserver:/var/log# ldapsearch -H ldaps://localhost:636 ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: error:20080078:BIO routines:bio_write_intern:uninitialized |
Es wird wohl auch kein Zertifikat gefunden:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | root@ldapserver:/var/log# openssl s_client -connect localhost:636 -showcerts CONNECTED(00000005) write:errno=0 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 311 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- Sie haben neue Post in /var/mail/root. |
obwohl die eigentlich auch mit richtigen Rechten versehen hinterlegt sind:
1 2 3 4 5 6 | root@ldapserver:/var/log# nano /usr/local/etc/openldap/slapd.ldif [...] olcTLSCACertificateFile: /etc/ssl/certs/aesettlingen.ddnss.de.fullchain.pem olcTLSCertificateFile: /etc/ssl/certs/aesettlingen.ddnss.de.cert.pem olcTLSCertificateKeyFile: /etc/ssl/private/aesettlingen.ddnss.de.privkey.pem [...] |
Auch hier gibt es einen Fehler:
1 2 3 4 5 6 | root@ldapserver:/var/log# ldapsearch -V ldapsearch: @(#) $OpenLDAP: ldapsearch 2.4.45 (Sep 12 2018 03:33:45) $ root@ldapserver:/home/ldap/openldap-2.4.45/clients/tools (LDAP library: OpenLDAP 20445) ldap_sasl_interactive_bind_s: Unknown authentication method (-6) additional info: SASL(-4): no mechanism available: No worthy mechs found |
Auf Port 443 wird das Zertifikat gefunden - diese Zuweisung erfolgt ja in der Config-Datei vom Apache... D.h. aber zumindest, dass das Zertifikat grundsätzlich mal da ist und funktioniert:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | openssl s_client -connect localhost:443 -showcerts CONNECTED(00000005) depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = aesettlingen.ddnss.de verify return:1 --- Certificate chain 0 s:CN = aesettlingen.ddnss.de i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgISA4NRu2lgaIed2glo3TwhjgRcMA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xOTA5MDMwMDE3MzBaFw0x usw.... |
Und von extern:
1 2 3 | leo@leo-X380:~$ ldapsearch -H ldaps://aesettlingen.ddnss.de:636 ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: The TLS connection was non-properly terminated. |
Habt ihr eine Idee woran es liegen kann?