TLS-Verbindung mit openLDAP

« Vorherige1Nächste »

Status: Gelöst | Ubuntu-Version: Ubuntu 18.04 (Bionic Beaver)
Antworten |

leof.

Anmeldungsdatum:
8. Februar 2007

Beiträge: 309

Wohnort: Ettlingen

Zitieren

5. September 2019 18:13

Hallo zusammen,

auf unserem Ubuntu-Server in der Schule läuft seit zwei Jahren ein openLDAP. Seit zwei Tagen (wohl seit dem Let's Encrypt ein neues Zertifikat erstellt hat) geht jedoch der LDAPS-Zugang (Port 636) nicht mehr...

Habe zur Installation eine Anleitung für Kollegen geschrieben, die man sich hier anschauen kann. Hier ein paar Ausgaben, damit man sich ein Bild machen kann. Eingaben auf dem Server:

1
2
3

root@ldapserver:/var/log# ldapsearch -H ldaps://localhost:636
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
	additional info: error:20080078:BIO routines:bio_write_intern:uninitialized

Es wird wohl auch kein Zertifikat gefunden:

root@ldapserver:/var/log# openssl s_client -connect localhost:636 -showcerts
CONNECTED(00000005)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 311 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
Sie haben neue Post in /var/mail/root.

obwohl die eigentlich auch mit richtigen Rechten versehen hinterlegt sind:

root@ldapserver:/var/log# nano /usr/local/etc/openldap/slapd.ldif
[...]
olcTLSCACertificateFile: /etc/ssl/certs/aesettlingen.ddnss.de.fullchain.pem
olcTLSCertificateFile: /etc/ssl/certs/aesettlingen.ddnss.de.cert.pem
olcTLSCertificateKeyFile: /etc/ssl/private/aesettlingen.ddnss.de.privkey.pem
[...]

Auch hier gibt es einen Fehler:

root@ldapserver:/var/log# ldapsearch -V
ldapsearch: @(#) $OpenLDAP: ldapsearch 2.4.45 (Sep 12 2018 03:33:45) $
	root@ldapserver:/home/ldap/openldap-2.4.45/clients/tools
	(LDAP library: OpenLDAP 20445)
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: No worthy mechs found

Auf Port 443 wird das Zertifikat gefunden - diese Zuweisung erfolgt ja in der Config-Datei vom Apache... D.h. aber zumindest, dass das Zertifikat grundsätzlich mal da ist und funktioniert:

openssl s_client -connect localhost:443 -showcerts
CONNECTED(00000005)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = aesettlingen.ddnss.de
verify return:1
---
Certificate chain
 0 s:CN = aesettlingen.ddnss.de
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
MIIFYjCCBEqgAwIBAgISA4NRu2lgaIed2glo3TwhjgRcMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xOTA5MDMwMDE3MzBaFw0x
usw....

Und von extern:

1
2
3

leo@leo-X380:~$ ldapsearch -H ldaps://aesettlingen.ddnss.de:636
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
	additional info: The TLS connection was non-properly terminated.

Habt ihr eine Idee woran es liegen kann?

misterunknown Team-Icon

Ehemalige

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Zitieren

6. September 2019 10:33

Was sagt denn slaptest zu deiner Konfiguration, und wie genau sieht selbige aus? Außerdem wäre noch interessant was im Log steht. Notfalls mal das Debug-Logging anschalten, wobei ich davon ausgehe, dass wenn ein Problem mit den Zertifikaten vorliegt, das nicht nur eine DEBUG- oder INFO-Meldung ist, sondern mindestens eine WARNING-Meldung, die irgendwo zu sehen sein sollte.

leof.

(Themenstarter)

Anmeldungsdatum:
8. Februar 2007

Beiträge: 309

Wohnort: Ettlingen

Zitieren

16. September 2019 16:57

Es lag wohl doch nicht am PC sondern an einem vorgeschalteten Filter eines externen Betreibers... vielen Dank tortzdem!

« Vorherige1Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »