LDAP (389) und SSL mit Letsencrypt

Moin, ich versuche gerade den 389er zum Laufen zu kriegen, wie es in https://doc.opensuse.org/documentation/leap/security/html/book-security/cha-security-ldap.html#sec-security-ldap-server-ca steht.

Dabei renne ich von einem Problem zum nächsten. Ich fände es sehr hilfreich, hier etwas mehr Klarheit in die Beschreibung zu bringen, deshalb mal den Thread für das Thema.

Also zuerst einmal wird dort eine Instanz neu angelegt mit “self-signed” Zertifikaten. Das führt zumindest in meiner Systemkonfiguration (aktualisiertes Leap 15.2) ausschließlich zu Problemen, da sämtliche Versuche, sich dann dort mit SSL zu verbinden zu dem Fehler führen: “Self-Signed certificate in key-chain” und das wars.

Zweitens erzeugt er so wie dort beschrieben (bei mir?) aktuell eine LDIF, die irgendein Zertifikat im Verzeichnis /tmp/slapd-instace/ erwartete … irgendwie logisch, dass das nicht geht. Beim Befehl laut Anleitung

dsconf -D "cn=Directory Manager" ldap//:*ldapserver1* plug-in list

Gabs einen uneindeutigen python Fehler “Datei nicht gefunden” Die Suche nach dieser einen Zeile hat mich jetzt einige Tage gekostet, weil es absolut nicht klar war, das das passieren könnte und woran es liegen kann (der ldap-service startete trotz Fehlen dieser Datei wunderbar ohne Anmerkungen - nur dsconf ging nicht)

Noch weiter machen diese Zertifikate erhebliche Probleme, weil das Loswerden mit tools wie certutil und das Erstezen durch andere (bei mir: lets encrypt) echt nicht trivial ist

Kurz: Da steht was, was so nicht funktioniert, wahnsinnigen Aufwand in der Fehlersuche macht und auch noch recht aufwändig zu beheben ist.

Mein konstruktiver Vorschlag: entweder die Doku überarbeiten, so dass die Konfiguration mit diesen Schlüsseln funktioniert (wahrscheinlich muss diesen vertraut werden?), oder aber die selbstsignierten Schlüssel ganz weglassen und auf andere Quellen verweisen, wer SSL haben möchte. Damit andere User das in Zukunft leichter haben.