autenticação ldap não funciona com a opção start_tls após a atualização do certificado

Navegue suas respostas
1

A autenticação do Ubuntu ldap não está funcionando no meu cliente com a opção ssl start_tls ativada no arquivo ldap.conf. Eu posso autenticar quando eu comento ssl start_tls.

Eu atualizei o certificado do servidor ldap e desde então os usuários não podem mais autenticar na minha máquina cliente do Ubuntu 10.04 se o SSL estiver ativado. As alterações ocorridas: 

Cert upgraded from 1024 to 2048 bit
now is a wildcart cert and use it to be a self-signed cert
encryption algorithm is now shaw512 (use to be md5)

Meu auth.log tem alguns erros:

nss-ldap: do_open: do_start_tls falhou: stat = -1

Os novos certificados estão funcionando porque eu tenho alguns outros clientes que autenticam usando os novos certificados (antigas máquinas centOS).

Alguém tem alguma idéia de por que eu não posso mais usar o SSL com o ldap no meu cliente?

    
por admiles 09.01.2013 / 15:35

2 respostas

1

Existe uma hierarquia de assinatura (ou seja, não é auto-assinada)? "curinga" e "auto-assinado" não são exclusivos. Um certificado comercial curinga terá uma hierarquia, ou seja, uma ou mais CAs intermediárias e uma CA raiz.

sha-512 ou md5 são hashes usados na assinatura do certificado, eles não são algoritmos de criptografia . Estes são usados para verificar a integridade do certificado, a cifra usada para uma conexão é negociada independentemente disso.

Eu acho que as causas mais prováveis são o sha512 (mais corretamente, "sha512WithRSAEncryption") não é suportado no Ubuntu 10; ou a máquina não possui um ou mais CA certs (intermediário ou raiz), portanto a verificação de cadeia completa não pode ser concluída.

Você pode ver se o openssl pode lidar com o novo certificado do servidor executando (na máquina Ubuntu 10): 

openssl x509 -in newservercert.crt -noout -text

embora isso possa não ser conclusivo. Isso também pode ser útil: 

ldapsearch -x -Z -v -h your.ldap.server

(Há uma pequena chance de usar o GnuTLS em vez do OpenSSL, não pode ajudar, desculpe!)

Provavelmente, você pode confirmar ou negar um problema de cadeia adicionando isso ao seu arquivo /etc/ldap/ldap.conf: 

TLS_REQCERT never

Se isso ajudar, você deve obter as partes ausentes da cadeia e adicioná-las à sua loja local, como isso é feito depende da configuração do cliente, verificando "TLS_CACERT" e / ou TLS_CACERTDIR em / etc / ldap / As diretivas do ldap.conf são onde você começa.

As causas menos prováveis incluem:

  • incapacidade de verificar as CRLs (verifique o ldap.conf para ver se ele está ativado)

E supondo que nada mais tenha mudado, as causas improváveis estão incluídas na perfeição:

  • versão do protocolo do servidor ou conjunto de cifras não suportado pelo cliente
  • alteração nos mecanismos SASL suportados
por 09.01.2013 / 19:28
0

Não tenho certeza se você resolveu essa questão. Eu encontrei a mesma situação. 12.04 se conecta ao servidor ldap usando tls mas 10.04 não. Minha solução é adicionar uma linha a /etc/ldap/ldap.conf : 

TLS_CACERT      /etc/ssl/certs/ca-certificates.crt
O cliente

e 10.04 pode se conectar ao servidor ldap usando tls.

    
por 27.10.2014 / 10:38

Tags

array de células de strings para estrutura matlab Como posso criar vários tipos de diagramas em um único documento do Visio?