openLDAP TLS unter openSUSE 12.1

Deutsch (German) Installation/Administration
1

Hallo zusammen,

ich verzweifle gerade! Ich möchte meinen LDAP-Server und meine LDAP-Clients TLS-fähig machen. Ich habe SÄMTLICHE Foren-, Wiki- und sonstige Internet-Beiträge zu dem Thema gelesen und umgesetzt - ES GEHT EINFACH NICHT!

Meine Vorgehensweise:

  1. RootCA erstellt
  2. Schlüssel und Zertifikat erstellt
  3. RootCA, Schlüssel und Zertifikat in /etc/openldap/certs kopiert
  4. Eigner und Gruppe der Zertifikate/Schlüssel geändert (ldap:ldap)
  5. Rechte der Zertifikate/Schlüssel geändert (400)
  6. Eintrag in der /etc/openldap/ldap.conf erstellt:
  • “TLS_REQCERT allow”
  1. Einträge in der /etc/openldap/slapd.d/cn=config.ldif erstellt:
  • “olcTLSCACertificateFile: /etc/openldap/certs/RootCA.pem”
  • “olcTLSCertificateFile: /etc/openldap/certs/slapdcert.pem”
  • “olcTLSCertificateKeyFile: /etc/openldap/certs/slapdkey.pem”
  1. Einträge in der /etc/ldap.conf erstellt:
  • “ls_cacertdir /etc/openldap/certs”
  • “tls_cacertfile /etc/openldap/certs/RootCA.cacert.pem”
  1. mit einem “ldapsearch -x -H ldaps://localhost/ -b ‘dc=[domain],dc=[tld]’ ‘(objectclass=*)’” bekomme ich ein “result: 0 success”
  2. Sowohl mit dem LDAP-Browser, als auch mit dem LDAP-Client in YaST bekomme ich IMMER folgende Meldung:
  • "error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (self signed certificate)

Dass ich ein “self signed certificate” benutze, ist mir klar! Das tue ich bewusst! Ich dachte, mit dem Eintrag “TLS_REQCERT allow” wäre das Thema “sellf signed certificate” erledigt …

Bevor irgendwelche Vorwürfe kommen: Ja, dieses Thema gibt es bereits in einigen Foren - ich habe ALLE gelesen und ALLE Ratschläge umgesetzt! OHNE ERFOLG!

Was kann ich noch tun???

Vielen Dank im Voraus - ich bin echt verzweifelt!

2

Haben deine Clients das CA-Zertifikat installiert? Sonst vertrauen sie dem TLS-Zertifikat nicht, weil das ja gegen eine selbstgebastelte CA verifiziert werden muss.

Gruß
Uwe

3

Hallo zusammen,

ich habe gerade das gleiche Problem. CA+LDAP-Server mit OpenSuSE 12.2 eingerichtet und wenn ich versuche den LDAP-Client (ebenfalls von einem OpenSUSE 12.2) anzubinden beschwert er sich über die selbstsignierten Zertifikate. Wie installiere ich die Zertifikate auf dem Client? Kannst du mir hier einen Tipp geben?

Viele Grüsse
Sven

4

Sven,

nie selbst mit herumgespielt, aber die 12.2 sollte Dir im Yast-Modul anbieten, das CA-Zertifikat herunterzuladen:
http://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.security.ldap.html#sec.security.ldap.yast.client

Gruß
Uwe

5

Nabend,

ich verzweifel grad am gleichen Problem. Eine Lösung hat sich zwischenzeitlich nicht ergeben?

Güße Falk

6

Falk,

der Link, den ich gepostet habe, war nicht hilfreich?

Was genau hast Du denn für ein Problem?

Gruß
Uwe

7

Dass ich ein “self signed certificate” benutze, ist mir klar! Das tue ich bewusst! Ich dachte, mit dem Eintrag “TLS_REQCERT allow” wäre das Thema “sellf signed certificate” erledigt …

Bevor irgendwelche Vorwürfe kommen: Ja, dieses Thema gibt es bereits in einigen Foren - ich habe ALLE gelesen und ALLE Ratschläge umgesetzt! OHNE ERFOLG!

Was kann ich noch tun???

Vielen Dank im Voraus - ich bin echt verzweifelt!

Hallo,
ich weiss nicht genau, ob man das Thema des “self signed certificates” unter Opensuse 12.2 genauso handhaben muss wie unter Opensuse 11.4 und Opensuse 12.1. Vermutlich ja. Ich hatte mich mal damit auseinanderzusetzen und es schließlich auch mit selbst erstellten Zertifikaten hinbekommen.

Dein LDAP-Server fungiert ja vermutlich gleichzeitig als Root-CA für dein selbst erstelltes Server-Zertifikat. Der LDAP-Client wird dem selbst erstellten Zertifikat jedoch (zu recht) nicht so ohne weiteres vertrauen. Daher dein Problem.

Dem LDAP-Client muss in einem solchen Fall das (öffentliche) Root-CA-Zertifikat ( nicht identisch mit dem Server-Zertifikat!) “bekannt” gemacht werden. Dies ist u.a. über die LDAP-Client-Einrichtung von YAST2 möglich. Voraussetzung ist, dass das Zertifikat der CA auf das Client-System kopiert wird.

Schau bzgl. der Root-CA und der LDAP-Server-Zertifikatserstellung mal nach unter

linux-blog - Fa. anracon - Dr. Mönchmeyer
(Artikel Opensuse 12.1 - LDAP II)

Die zugehörige Client-Einrichtung für das selbst erstellte Zertifikat findest du unter

linux-blog - Fa. anracon - Dr. Mönchmeyer
(Artikel Opensuse 12.1 - LDAP III)

Bei letzterem Artikel wird die Sache mit dem selbst erzeugten Zertifikat unter der Überschrift

“Konfiguration des YaST-LDAP-Clients auf dem externen System”.

diskutiert und gezeigt, was man im Bereich der “Advanced Configuration” der YAST-LDAP-Client-Einrichtung tun muss.

Beste Grüße und viel Glück
Ralph