[gelöst] LDAP Replication funktioniert nach LDAPS nicht mehr
Re: [gelöst] LDAP Replication funktioniert nach LDAPS nicht mehr
Soviel ich sehe hast du aber auch 2 Optionen entfernt:
starttls=critical tls_reqcert=demand
Die Frage ist was dadurch mit TLS passiert.
starttls=critical tls_reqcert=demand
Die Frage ist was dadurch mit TLS passiert.
Re: [gelöst] LDAP Replication funktioniert nach LDAPS nicht mehr
Ohhh!!
Vielen Dank für den Tipp. Da hab ich wohl noch ein Fehler drin. Nach hinzufügen der Fehlenden Optionen funktioniert die Replikation wieder nicht.
Ich muss hier noch mal alles checken. Ich geb auf jeden Fall noch mal eine Rückmeldung wenn ich den Fehler gefunden habe!
Vielen Dank für den Tipp. Da hab ich wohl noch ein Fehler drin. Nach hinzufügen der Fehlenden Optionen funktioniert die Replikation wieder nicht.
Code: Alles auswählen
slap_client_connect: URI=ldaps://LDAP1.local.net Error, ldap_start_tls failed (1)
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Ich habe meine beiden LDAP Server noch einmal sauber aufgesetzt um evtl. Fehler zu vermeiden.
Ich habe von meinem SECONDARY LDAP immer noch die Fehlermeldung im LOG
/var/log/syslog
Wenn ich jedoch folgendes abfrage, bekomme ich eine erfolgreiche Rückmeldung.
Das macht doch eigentlich keinen Sinn oder?
Ich habe von meinem SECONDARY LDAP immer noch die Fehlermeldung im LOG
/var/log/syslog
Code: Alles auswählen
slap_client_connect: URI=ldaps://LDAP1.local.net Error, ldap_start_tls failed (1)
Code: Alles auswählen
ldapsearch -x -LLL -H ldaps:/// -b dc=local,dc=net dn | grep USER
ldapsearch -x -LLL -H ldaps://LDAP1.local.net contextCSN | grep USER
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Also irgendwie komme ich hier nicht so ganz weiter.
Ich habe von meinem Client (mit JXplorer) eine SSL (Port 636) Verbindung zu meinen beiden OpenLDAP Servern herstellen können.
Somit sind doch die Zertifikate auf meinen Servern kein Problem? Auch die LDAPS Verbindung sollte nicht das Problem sein.
In welchem Log bekomme ich noch genauere Informationen zu dem Fehler:
Ich habe von meinem Client (mit JXplorer) eine SSL (Port 636) Verbindung zu meinen beiden OpenLDAP Servern herstellen können.
Somit sind doch die Zertifikate auf meinen Servern kein Problem? Auch die LDAPS Verbindung sollte nicht das Problem sein.
In welchem Log bekomme ich noch genauere Informationen zu dem Fehler:
Code: Alles auswählen
slap_client_connect: URI=ldaps://LDAP1.local.net Error, ldap_start_tls failed (1)
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Schon mal das Debug-Level des slapd erhöht das die Verbindung aufbauen möchte und fehlschlägt?
[[ Black Holes are where God devided by 0 ]]
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Ich habe das Log Level jetzt mal auf "any" gesetzt um hier mehr zu erfahren. Ich erhalte jetzt zwar sehr viele Infos, jedoch am Ende wo die Verbindung aufgebaut wird, steht nicht viel.
Zumindest nichts mit dem ich etwas anfangen könnte.
Nur mal so als Frage. Ich habe für beide LDAP Server ein Server Zertifikat was ich für die Replication verwende. Wird hier irgendwo noch ein Client Zertifikat benötigt?
Hier die Optionen von meinen Server Zertifikaten:
Ich habe mein CA Cert jetzt auch schon ausgetauscht. Am Anfang hatte ich hier das reine Intermediate Cert. Jetzt habe ich ein CHAIN Cert im Einsatz (Root CA & Intermediate CA). Ich dachte das an der Zertifikat Kette vielleicht etwas nicht gefunden wird.
Was mich auch etwas wundert. Auf folgender Webseite wird die gesamte Installation beschrieben. https://help.ubuntu.com/lts/serverguide ... erver.html
Unter dem Abschnitt "Replication and TLS" wird seltsamerweise in der "consumer_sync_tls.ldif" in der Option "provider" folgendes eingetragen: "ldap://ldap01.example.com"
Hier müsste doch eigentlich ldaps:// verwendet werden. Wenn ich anschließend in der Config "/etc/default/slapd" nur noch "SLAPD_SERVICES="ldaps:///"" erlaube, würde das nicht mehr funktionieren.
Code: Alles auswählen
daemon: epoll: listen=8 active_threads=0 tvp=zero
daemon: epoll: listen=9 active_threads=0 tvp=zero
daemon: epoll: listen=10 active_threads=0 tvp=zero
daemon: epoll: listen=11 active_threads=0 tvp=zero
daemon: epoll: listen=12 active_threads=0 tvp=zero
=>do_syncrepl rid=000
slap_client_connect: URI=ldaps://LDAP1.local.net Error, ldap_start_tls failed (1)
daemon: activity on 1 descriptor
daemon: activity on:
Oct 25 09:26:53 LDAP2 slapd[487]:
daemon: epoll: listen=8 active_threads=0 tvp=zero
daemon: epoll: listen=9 active_threads=0 tvp=zero
daemon: epoll: listen=10 active_threads=0 tvp=zero
daemon: epoll: listen=11 active_threads=0 tvp=zero
daemon: epoll: listen=12 active_threads=0 tvp=zero
do_syncrepl: rid=000 rc 1 retrying
Nur mal so als Frage. Ich habe für beide LDAP Server ein Server Zertifikat was ich für die Replication verwende. Wird hier irgendwo noch ein Client Zertifikat benötigt?
Hier die Optionen von meinen Server Zertifikaten:
Code: Alles auswählen
basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Cert"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
Was mich auch etwas wundert. Auf folgender Webseite wird die gesamte Installation beschrieben. https://help.ubuntu.com/lts/serverguide ... erver.html
Unter dem Abschnitt "Replication and TLS" wird seltsamerweise in der "consumer_sync_tls.ldif" in der Option "provider" folgendes eingetragen: "ldap://ldap01.example.com"
Hier müsste doch eigentlich ldaps:// verwendet werden. Wenn ich anschließend in der Config "/etc/default/slapd" nur noch "SLAPD_SERVICES="ldaps:///"" erlaube, würde das nicht mehr funktionieren.
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Hab nochmal ein bisschen geforscht.
Also LDAP ist dem SMTP Protokoll in Sachen TLS ziemlich ähnlich.
Es gibt 2 Arten eine TLS Verbindung aufzubauen:
Explizit an einen anderen Port (meist 636/tcp) verbinden und nach dem die TCP Sitzung aufgebaut ist, direkt mit dem TLS Handshake beginnen. Wenn der komplett ist, kann LDAP "gesprochen" werden, z.B. das binding was u.a. als Authentisieren dient.
Eine andere Vorgehensweise ist, dass der LDAP Client auf Port 389/tcp eine Verbindung aufbaut und mittels STARTTLS Kommando nun diese Klartext Verbindung auf eine verschlüsselte Verbindung "upgraded".
Die Frage die sich nun stellt: Was erwartet der Server? Was versucht der Client? Vielleicht passt das eine ja nicht auf das andere.
Ich würde mal auf dem Server machen und mal ein Packet Capture anfertigen was zwischen den beiden Hosts passiert während es zu dem Fehler kommt.
P.S.
die Funktion ldap_start_tls(1) deutet darauf hin, dass der Client die STARTTLS Methode versucht. Der Return Code 1 entspricht LDAP_OPERATIONS_ERROR.
Also LDAP ist dem SMTP Protokoll in Sachen TLS ziemlich ähnlich.
Es gibt 2 Arten eine TLS Verbindung aufzubauen:
Explizit an einen anderen Port (meist 636/tcp) verbinden und nach dem die TCP Sitzung aufgebaut ist, direkt mit dem TLS Handshake beginnen. Wenn der komplett ist, kann LDAP "gesprochen" werden, z.B. das binding was u.a. als Authentisieren dient.
Eine andere Vorgehensweise ist, dass der LDAP Client auf Port 389/tcp eine Verbindung aufbaut und mittels STARTTLS Kommando nun diese Klartext Verbindung auf eine verschlüsselte Verbindung "upgraded".
Die Frage die sich nun stellt: Was erwartet der Server? Was versucht der Client? Vielleicht passt das eine ja nicht auf das andere.
Ich würde mal
Code: Alles auswählen
netstat -tlnp
P.S.
die Funktion ldap_start_tls(1) deutet darauf hin, dass der Client die STARTTLS Methode versucht. Der Return Code 1 entspricht LDAP_OPERATIONS_ERROR.
[[ Black Holes are where God devided by 0 ]]
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Wenn ich in meiner Consumer Config wieder beides von ldaps:// auf ldap:// umstelle, wie kann ich dann prüfen ob eine TLS Verbindung aufgebaut wird? Gibt es hier vielleicht eine Möglichkeit? Vielleicht würde das ja auch passen. Dann würde die Beschreibung der Installation auch korrekt sein.
Code: Alles auswählen
dn: olcDatabase={1}mdb,cn=config
replace: olcSyncRepl
olcSyncRepl: rid=0 provider=ldap://LDAP1.local.net bindmethod=simple binddn="cn=admin,dc=local,dc=net"
credentials=secret searchbase="dc=local,dc=net" logbase="cn=accesslog"
logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on
type=refreshAndPersist retry="60 +" syncdata=accesslog
starttls=critical tls_reqcert=demand
-
replace: olcUpdateRef
olcUpdateRef: ldap://LDAP1.local.net
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
was wenn du die URI auf ldaps:// änderst und das starttls=critical weg lässt?
[[ Black Holes are where God devided by 0 ]]
Re: LDAP Replication funktioniert nach LDAPS nicht mehr
Schönen guten Morgen und vielen Dank für den Tipp!
Ich hab jetzt alles wie folgt eingestellt und die Replication funktioniert einwandfrei.
sudo nano /etc/default/slapd
Ich hab jetzt alles wie folgt eingestellt und die Replication funktioniert einwandfrei.
Code: Alles auswählen
dn: olcDatabase={1}mdb,cn=config
replace: olcSyncRepl
olcSyncRepl: rid=0 provider=ldaps://LDAP1.local.net bindmethod=simple binddn="cn=admin,dc=local,dc=net"
credentials=secret searchbase="dc=local,dc=net" logbase="cn=accesslog"
logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on
type=refreshAndPersist retry="60 +" syncdata=accesslog
tls_reqcert=demand
-
replace: olcUpdateRef
olcUpdateRef: ldaps://LDAP1.local.net
Code: Alles auswählen
SLAPD_SERVICES="ldaps:///"
Re: [gelöst] LDAP Replication funktioniert nach LDAPS nicht mehr
Freut mich.
[[ Black Holes are where God devided by 0 ]]