ldaps Protokoll, Vorgehensweise bei der Fehlersuche

Dieses Thema im Forum "Security Talk" wurde erstellt von george, 24.10.2009.

  1. #1 george, 24.10.2009
    Zuletzt bearbeitet: 24.10.2009
    george

    george Grünschnabel

    Dabei seit:
    23.10.2009
    Beiträge:
    5
    Zustimmungen:
    0
    Ort:
    München
    Hallo,

    Ich betreibe einen sles11 server als ldap client mit dem ldaps Protokoll.
    Um die ldap-Anbindung zu testen, wurden ff. Befehle verwendet:

    postgres@srv:~ $ ldapsearch -v -x -H "ldaps://ldap.bbb.de/bbb-mmm.de" uid=ntzkn
    ldap_initialize( ldaps://ldap.bbb.de:636/bbb-mmm.de??base )
    ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

    postgres@srv:~ $ ldapsearch -v -x -H "ldap://ldap.bbb.de/bbb-mmm.de" uid=ntzkn | tail
    ldap_initialize( ldap://ldap.bbb.de:389/bbb-mmm.de??base )
    .....
    filter: uid=ntzkn
    requesting: All userApplication attributes
    shadowExpire: 1299625200
    sambaKickoffTime: 1299625200
    postalAddress: vn.nn@bbb.de

    # search result
    search: 2
    result: 0 Success

    # numResponses: 2
    # numEntries: 1

    Eine analoge Abfrage mit dem ldaps Protokoll konnte auf einem paralell betriebenen Server erfolgreich abgesetzt werden.

    Wie würdet Ihr bei der Suche nach der Ursache des Problems vorgehen? :hilfe2:

    Hintergrund:
    Eine postgresql Installation authentifiziert die Nutzer eines Datenbankclusters. Als Authentifizierungsmethode wird ldap mit einer ldaps-URI eingerichtet und ssl des Datenbankservers aktiviert. Das für ssl des Datenbankservers notwendige Serverzertifikat, der private Schlüssel, und sie Liste vertrauenswürdiger Zertifizierungsstellen wurden im Datenverzeichnis des Datenbankclusters abgelegt und der Datenbankserver startet. Auf eine Zertifikatssperrliste wurde verzichtet. Leider liefert die Anwendung, die den Cluster nutzt, bei der Authentifizierung einen ldap-Fehler. Zur Ursachenbeseitigung soll zunächst der o. g. ldapsearch Befehl mit dem ldaps Protokoll erfogreich durchgeführt werden.

    George
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 flugopa, 24.10.2009
    flugopa

    flugopa Der lernwillige

    Dabei seit:
    27.05.2006
    Beiträge:
    739
    Zustimmungen:
    0
    Ort:
    München
    z.B.: Offenlegung aller ldap Konfigdateien, damit man sich ein Überblick verschaffen kann.
    Auch ich, vergesse immer wieder mal ein Komma oder ein Punkt zu setzen.
     
  4. #3 foobarflu, 24.10.2009
    foobarflu

    foobarflu Foren As

    Dabei seit:
    21.12.2003
    Beiträge:
    79
    Zustimmungen:
    0
    Triviale Probleme ausschliessen:
    - ist der ldaps-port offen?
    - `openssl s_client -connect host:ldaps` liefert das richtige Zertifikat?
     
  5. george

    george Grünschnabel

    Dabei seit:
    23.10.2009
    Beiträge:
    5
    Zustimmungen:
    0
    Ort:
    München
    Dankeschön, leider steht der Server in einem "abgesperrtem" Netz. Kann frühestens Montags reagieren.
     
  6. george

    george Grünschnabel

    Dabei seit:
    23.10.2009
    Beiträge:
    5
    Zustimmungen:
    0
    Ort:
    München
    :) >ldapsearch -v -x -H "ldaps://ldap.bbb.de/bbb-muenchen.de" uid=ntzkn<
    liefert nun das gewünschte Ergebnis.

    --
    Hier die beiden Konfigurationsdateien, die ich gefunden habe:

    ##########################################################
    # /etc/ldap.conf
    # This is the configuration file for the LDAP nameservice
    # switch library and the LDAP PAM module.
    #
    # Diese Datei ist nur relevant wenn ein ldap-server auf dem lokalen Rechner
    # betrieben wird? Das ist jedenfalls so nicht vorgesehen.

    host ldap.bbb.de
    base dc=bbb-muenchen,dc=de
    bind_policy soft
    pam_lookup_policy yes
    pam_password exop
    nss_initgroups_ignoreusers root,ldap
    nss_schema rfc2307bis
    nss_map_attribute uniqueMember member

    ssl start_tls
    ldap_version 3
    pam_filter objectClass=posixAccount
    tls_checkpeer no

    ##########################################################
    # /etc/openldap/ldap.conf
    #
    # Diese Datei wurde bisher als die 'zuständige' Datei angesehen.

    TLS_REQCERT allow
    host ldap.bbb.de
    base dc=bbb-muenchen,dc=de
     
  7. george

    george Grünschnabel

    Dabei seit:
    23.10.2009
    Beiträge:
    5
    Zustimmungen:
    0
    Ort:
    München
    Ports, Zertifikate überprüft.
    ldapsearch funktioniert,
    erledigt
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

ldaps Protokoll, Vorgehensweise bei der Fehlersuche

Die Seite wird geladen...

ldaps Protokoll, Vorgehensweise bei der Fehlersuche - Ähnliche Themen

  1. ldapsam:editposix Standardvorgaben

    ldapsam:editposix Standardvorgaben: Hi Mit ldapsam:editposix macht Samba Posix-Users ins LDAP. Aber kann man die Standardvorgaben konfigurieren? z.B.: Als Homeverzeichnis...
  2. Samba im AD über LDAPS

    Samba im AD über LDAPS: Hallo zusammen, ich hätt da gern mal ein Problem. Ich habe einen Sambaserver auf einem SLES11.1 als AD-Mitglied am Laufen. Er dient dort als...
  3. ldapsearch syntax

    ldapsearch syntax: closed closed
  4. LDAPS mit OpenLDAP als Client

    LDAPS mit OpenLDAP als Client: Hallo, Ich veruche soeben OpenLDAP beizubringen sich mit unserem Domain Controller mit LDAP über SSL zu verbinden. Die Konfiguration und die...
  5. NTP-Protokoll hat gravierende Sicherheitsmängel

    NTP-Protokoll hat gravierende Sicherheitsmängel: Sicherheitsexperten bei Google haben eine Reihe von Sicherheitsmängeln in der Implementierung des Network Time Protocol (NTP) entdeckt. Zwei davon...