The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"PDC на smb + ldap"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [Проследить за развитием треда]

"PDC на smb + ldap"  
Сообщение от iwan email(ok) on 20-Июл-07, 09:58 
Для настройки использовал статью https://www.opennet.ru/base/net/ldap_spama_pdc.txt.html
Конфиги аналогичны описываемым в статье. Сам сервер LDAP работает судя по выводу команды ldapsearch, хотя запрос проходит только по ldap, а ldaps выдает  Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Но при этом клиент Softerra LDAP Browser 2.6 установленный на WinXP без проблем коннектится к этому LDAP-серверу.

При этом непонятно почему, но samba отказывается коннектиться к LDAP. В лог валятся две ошибки:
[11:00.00]lib/smbldap.c:smb_ldap_start_tls
Failed to issue the StartTLS instruction: Connect error
[11:00.01]lib/smbldap.c:another_ldap_try
Connection to LDAP server failed for the 1 try!

Если попробовать закомментировать в smb.conf строчку ldap ssl = start tls тогда харрактер ошибки меняется на:
[11:00.00]services/services_db.c:svcctl_init_keys
init_services_keys: key lookup failed! (WERR_ACCESS_DENIED)
ERROR: failed to setup guest info.

Система: Fedora core 6
openssl-0.9.8b-8.3.fc6
openssl-devel-0.9.8b-8.3.fc6
samba-common-3.0.24-7.fc6
samba-client-3.0.24-7.fc6
samba-3.0.24-7.fc6

Посоветуйте что делать и куда копать. Если кто посоветует как настроить хотя бы через незащищенное соединение тоже буду рад. Все равно LDAP на том же компе что и самба.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "PDC на smb + ldap"  
Сообщение от oleg (??) on 26-Июл-07, 13:25 
>[оверквотинг удален]
>Система: Fedora core 6
>openssl-0.9.8b-8.3.fc6
>openssl-devel-0.9.8b-8.3.fc6
>samba-common-3.0.24-7.fc6
>samba-client-3.0.24-7.fc6
>samba-3.0.24-7.fc6
>
>Посоветуйте что делать и куда копать. Если кто посоветует как настроить хотя
>бы через незащищенное соединение тоже буду рад. Все равно LDAP на
>том же компе что и самба.

Дак не работает TLS, а самба через него и пытаеться соеденится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "PDC на smb + ldap"  
Сообщение от iwan email(??) on 26-Июл-07, 13:42 

>Дак не работает TLS, а самба через него и пытаеться соеденится.

netstat -nap| grep slap
tcp        0      0 0.0.0.0:389                 0.0.0.0:*                   LISTEN      16424/slapd
tcp        0      0 0.0.0.0:636                 0.0.0.0:*                   LISTEN      16424/slapd
tcp        0      0 :::389                      :::*                        LISTEN      16424/slapd
tcp        0      0 :::636                      :::*                        LISTEN      16424/slapd
unix  2      [ ]         DGRAM                    2462618 16424/slapd

Если то, что порт 636 слушается openldap'ом не является признаком работоспособности TLS, тогда подскажите как:
1) Проверить работоспособность TLS?
2) Как заставить TLS работать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PDC на smb + ldap"  
Сообщение от pvl (??) on 26-Июл-07, 15:35 
У мене в smb.conf так:
    
    passdb backend = ldapsam:"ldapi:// ldap://localhost ldaps://host"
    ldap ssl       = on

і якщо я не помиляюсь то для нормальної роботи samba через ldapi
то права на файл сокета мають бути 0777:
chmod 0777 /var/lib/run/ldapi

запускається ldap так: /usr/libexec/slapd -4 -u ldap -g ldap -l LOCAL6 -h 'ldap://127.0.0.1 ldaps://192.168.30.1 ldapi:///'

сертифікат я створив таким скр.:

export SSL_TMP=/tmp/ssl_sys_$$
mkdir $SSL_TMP
cd $SSL_TMP
openssl genrsa -des3 -out ca.key 2048
openssl req -new -x509 -days 730 -utf8 -key ca.key -out ca.cert

потім скопіював

ca.cert в /etc/ssl/certs
ca.key в /etc/ssl/private

далі створив сертифікати для користувачів (в тому числі для ldap):

export SSL_TMP=/tmp/ssl_$$_$1
mkdir $SSL_TMP
cd $SSL_TMP
openssl genrsa -out $1.key 1024
openssl req -new -key $1.key -out $1.csr -utf8
openssl x509 -req -in $1.csr -out $1.cert -CA /etc/ssl/certs/ca.cert -CAkey /etc/ssl/private/ca.key -CAcreateserial -days 1095

сертифікат ldap скопіював в /etc/ssl/ldap і прописав в slapd.conf

TLSCACertificateFile    /etc/ssl/certs/ca.cert
TLSCertificateFile      /etc/ssl/ldap/ldap.cert
TLSCertificateKeyFile   /etc/ssl/ldap/ldap.key
TLSVerifyClient         try

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру