LDAP sobre SSL / TLS trabalhando para tudo, mas o login no Ubuntu

Question

LDAP sobre SSL / TLS trabalhando para tudo, mas o login no Ubuntu

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (-1 votos)
#4 resposta do (-3 votos)

4

Eu obtive o OpenLDAP com SSL trabalhando em uma caixa de teste com um certificado assinado. Eu posso usar uma ferramenta LDAP em uma caixa do Windows para exibir o LDAP sobre SSL (porta 636). Mas quando eu executo dpkg-reconfigure ldap-auth-config para configurar meu login local para usar ldaps, meu login sob um nome de usuário no diretório não funciona. Se eu alterar a configuração para usar apenas o ldap simples (porta 389), ele funciona muito bem (eu posso fazer o login com um nome de usuário no diretório). Quando sua configuração para ldaps eu recebo Auth.log mostra:

Sep  5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Sep  5 13:48:27 boromir sshd[13453]: pam_ldap: reconnecting to LDAP server...
Sep  5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server

Eu providenciarei o que for necessário. Não tenho certeza do que mais incluir.

authentication ssl tls ldap

por Oliver Nelson 05.09.2009 / 22:54

4 respostas

Tags authentication ssl tls ldap

Teclas / combos do Windows que você não poderia viver sem Renomeie o Blackberry Enterprise Server

score 2 · Answer 1

Suspeito que você esteja usando "ldaps: // server /" para seu URI quando precisar de algo como "ldaps: // server: 636 /".

Sem especificar a porta, vai tentar o TLS pela porta 389.

score 1 · Answer 2

O sshd usa separação de privilégios e chroots. Isso pode estar interagindo mal com algo na pilha necessária para ativar o SSL e verificar certificados.

Tente desabilitar a PrivilegeSeparation temporariamente; é uma má ideia rodar assim, mas se resolver o problema, você sabe qual área investigar.

score -1 · Answer 3

Bem, é um problema de TLS. Apenas desabilite a verificação do certificado do slapd no lado do cliente. Por padrão, TLS_ReqCert é definido como "demand" no cliente; mude para "nunca". Isso faz com que seu cliente confie no slapd e, por sua vez, faça uma conexão após o aperto de mão do tsl.

score -3 · Answer 4

Oi Embora o seu sistema funcione com a porta 389, o TLS ainda pode estar ativo, porque o openLDAP pode estar criptografando dados e enviando-os para o 389. Você pode verificar isso.