ldaps Protokoll, Vorgehensweise bei der Fehlersuche

[george]

Hallo,

Ich betreibe einen sles11 server als ldap client mit dem ldaps Protokoll.
Um die ldap-Anbindung zu testen, wurden ff. Befehle verwendet:

postgres@srv:~ $ ldapsearch -v -x -H "ldaps://ldap.bbb.de/bbb-mmm.de" uid=ntzkn
ldap_initialize( ldaps://ldap.bbb.de:636/bbb-mmm.de??base )
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

postgres@srv:~ $ ldapsearch -v -x -H "ldap://ldap.bbb.de/bbb-mmm.de" uid=ntzkn | tail
ldap_initialize( ldap://ldap.bbb.de:389/bbb-mmm.de??base )
.....
filter: uid=ntzkn
requesting: All userApplication attributes
shadowExpire: 1299625200
sambaKickoffTime: 1299625200
postalAddress: **********

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Eine analoge Abfrage mit dem ldaps Protokoll konnte auf einem paralell betriebenen Server erfolgreich abgesetzt werden.

Wie würdet Ihr bei der Suche nach der Ursache des Problems vorgehen?

Hintergrund:
Eine postgresql Installation authentifiziert die Nutzer eines Datenbankclusters. Als Authentifizierungsmethode wird ldap mit einer ldaps-URI eingerichtet und ssl des Datenbankservers aktiviert. Das für ssl des Datenbankservers notwendige Serverzertifikat, der private Schlüssel, und sie Liste vertrauenswürdiger Zertifizierungsstellen wurden im Datenverzeichnis des Datenbankclusters abgelegt und der Datenbankserver startet. Auf eine Zertifikatssperrliste wurde verzichtet. Leider liefert die Anwendung, die den Cluster nutzt, bei der Authentifizierung einen ldap-Fehler. Zur Ursachenbeseitigung soll zunächst der o. g. ldapsearch Befehl mit dem ldaps Protokoll erfogreich durchgeführt werden.

George

 

[flugopa]

Wie würdet Ihr bei der Suche nach der Ursache des Problems vorgehen?

z.B.: Offenlegung aller ldap Konfigdateien, damit man sich ein Überblick verschaffen kann.
Auch ich, vergesse immer wieder mal ein Komma oder ein Punkt zu setzen.

 

[foobarflu]

Wie würdet Ihr bei der Suche nach der Ursache des Problems vorgehen?

Triviale Probleme ausschliessen:
- ist der ldaps-port offen?
- `openssl s_client -connect host:ldaps` liefert das richtige Zertifikat?

 

[george]

z.B.: Offenlegung aller ldap Konfigdateien, damit man sich ein Überblick verschaffen kann.
Auch ich, vergesse immer wieder mal ein Komma oder ein Punkt zu setzen.

Dankeschön, leider steht der Server in einem "abgesperrtem" Netz. Kann frühestens Montags reagieren.

 

[george]

>ldapsearch -v -x -H "ldaps://ldap.bbb.de/bbb-muenchen.de" uid=ntzkn<
liefert nun das gewünschte Ergebnis.

--
Hier die beiden Konfigurationsdateien, die ich gefunden habe:

##########################################################
# /etc/ldap.conf
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# Diese Datei ist nur relevant wenn ein ldap-server auf dem lokalen Rechner
# betrieben wird? Das ist jedenfalls so nicht vorgesehen.

host ldap.bbb.de
base dc=bbb-muenchen,dc=de
bind_policy soft
pam_lookup_policy yes
pam_password exop
nss_initgroups_ignoreusers root,ldap
nss_schema rfc2307bis
nss_map_attribute uniqueMember member

ssl start_tls
ldap_version 3
pam_filter objectClass=posixAccount
tls_checkpeer no

##########################################################
# /etc/openldap/ldap.conf
#
# Diese Datei wurde bisher als die 'zuständige' Datei angesehen.

TLS_REQCERT allow
host ldap.bbb.de
base dc=bbb-muenchen,dc=de

 

[george]

Ports, Zertifikate überprüft.
ldapsearch funktioniert,
erledigt