Новые ответы

PDC на smb + ldap,

iwan, 20-Июл-07, 09:58 [смотреть все]

Для настройки использовал статью https://www.opennet.ru/base/net/ldap_spama_pdc.txt.html
Конфиги аналогичны описываемым в статье. Сам сервер LDAP работает судя по выводу команды ldapsearch, хотя запрос проходит только по ldap, а ldaps выдает Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Но при этом клиент Softerra LDAP Browser 2.6 установленный на WinXP без проблем коннектится к этому LDAP-серверу.
При этом непонятно почему, но samba отказывается коннектиться к LDAP. В лог валятся две ошибки:
[11:00.00]lib/smbldap.c:smb_ldap_start_tls
Failed to issue the StartTLS instruction: Connect error
[11:00.01]lib/smbldap.c:another_ldap_try
Connection to LDAP server failed for the 1 try!
Если попробовать закомментировать в smb.conf строчку ldap ssl = start tls тогда харрактер ошибки меняется на:
[11:00.00]services/services_db.c:svcctl_init_keys
init_services_keys: key lookup failed! (WERR_ACCESS_DENIED)
ERROR: failed to setup guest info.
Система: Fedora core 6
openssl-0.9.8b-8.3.fc6
openssl-devel-0.9.8b-8.3.fc6
samba-common-3.0.24-7.fc6
samba-client-3.0.24-7.fc6
samba-3.0.24-7.fc6
Посоветуйте что делать и куда копать. Если кто посоветует как настроить хотя бы через незащищенное соединение тоже буду рад. Все равно LDAP на том же компе что и самба.

Ответить | Сообщить модератору

PDC на smb + ldap, oleg, 13:25 , 26-Июл-07 (1)
>[оверквотинг удален]
>Система: Fedora core 6
>openssl-0.9.8b-8.3.fc6
>openssl-devel-0.9.8b-8.3.fc6
>samba-common-3.0.24-7.fc6
>samba-client-3.0.24-7.fc6
>samba-3.0.24-7.fc6
>
>Посоветуйте что делать и куда копать. Если кто посоветует как настроить хотя
>бы через незащищенное соединение тоже буду рад. Все равно LDAP на
>том же компе что и самба.
Дак не работает TLS, а самба через него и пытаеться соеденится.
Ответить | Сообщить модератору

PDC на smb + ldap, iwan, 13:42 , 26-Июл-07 (2)

>Дак не работает TLS, а самба через него и пытаеться соеденится.
netstat -nap| grep slap
tcp        0      0 0.0.0.0:389                 0.0.0.0:*                   LISTEN      16424/slapd
tcp        0      0 0.0.0.0:636                 0.0.0.0:*                   LISTEN      16424/slapd
tcp        0      0 :::389                      :::*                        LISTEN      16424/slapd
tcp        0      0 :::636                      :::*                        LISTEN      16424/slapd
unix  2      [ ]         DGRAM                    2462618 16424/slapd
Если то, что порт 636 слушается openldap'ом не является признаком работоспособности TLS, тогда подскажите как:
1) Проверить работоспособность TLS?
2) Как заставить TLS работать?
Ответить | Сообщить модератору

PDC на smb + ldap, pvl, 15:35 , 26-Июл-07 (3)
У мене в smb.conf так:

    passdb backend = ldapsam:"ldapi:// ldap://localhost ldaps://host"
    ldap ssl       = on
і якщо я не помиляюсь то для нормальної роботи samba через ldapi
то права на файл сокета мають бути 0777:
chmod 0777 /var/lib/run/ldapi
запускається ldap так: /usr/libexec/slapd -4 -u ldap -g ldap -l LOCAL6 -h 'ldap://127.0.0.1 ldaps://192.168.30.1 ldapi:///'
сертифікат я створив таким скр.:
export SSL_TMP=/tmp/ssl_sys_$$
mkdir $SSL_TMP
cd $SSL_TMP
openssl genrsa -des3 -out ca.key 2048
openssl req -new -x509 -days 730 -utf8 -key ca.key -out ca.cert
потім скопіював
ca.cert в /etc/ssl/certs
ca.key в /etc/ssl/private
далі створив сертифікати для користувачів (в тому числі для ldap):
export SSL_TMP=/tmp/ssl_$$_$1
mkdir $SSL_TMP
cd $SSL_TMP
openssl genrsa -out $1.key 1024
openssl req -new -key $1.key -out $1.csr -utf8
openssl x509 -req -in $1.csr -out $1.cert -CA /etc/ssl/certs/ca.cert -CAkey /etc/ssl/private/ca.key -CAcreateserial -days 1095
сертифікат ldap скопіював в /etc/ssl/ldap і прописав в slapd.conf
TLSCACertificateFile    /etc/ssl/certs/ca.cert
TLSCertificateFile      /etc/ssl/ldap/ldap.cert
TLSCertificateKeyFile   /etc/ssl/ldap/ldap.key
TLSVerifyClient         try
Ответить | Сообщить модератору