vine-users ML アーカイブ

[vine-users:075243] OpenLDAP TLS 接続について

  • From: IIDAYUICHI <y_iida@xxxxxxxxxxxx>
  • Subject: [vine-users:075243] OpenLDAP TLS 接続について
  • Date: Thu, 23 Nov 2006 16:34:08 +0900
iida と申します。

OpenLDAP server への TLS接続でちょっとはまっており御教授いただければ
ありがたいです。使いかたとしてはローカルユーザの認証でユーザ情報の移行
は済んでおり平文でのssh認証loginはできます。

サーバOS: Vine4.0
rpm: openldap-2.3.37-0v27, openldap-server(clients)-2.3.27-0v12,
nss_ldap-251-0vl1

□ /etc/ldap.conf
host 127.0.0.1
base dc=example,dc=com
binddn cn=root,dc=example,dc=com
bindpw testpass
tls_cacertfile /etc/pki/tls/certs/ca-bundle.crt
tls_cacertdir /etc/pki/tls/certs
ssl start_tls
pam_password crypt

□ /etc/openldap/ldap.conf
HOST 127.0.0.1
BASE dc=example,dc=com

□ /etc/openldap/slapd.conf
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem <−自作 crt,key同居
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem <−自作 crt,key同居

database        bdb
suffix          "dc=example,dc=com"
rootdn          "cn=root,dc=example,dc=com"
rootpw          testpass

その他はデフォルト

クライアントサーバが用意できない為、おなじPCから接続しているのですが
以下のようにログにはTLSで失敗しています。

Nov 23 15:42:49 testserver slapd[6429]: conn=3 fd=16 ACCEPT from
IP=127.0.0.1:52036 (IP=0.0.0.0:389) Nov 23 15:42:49 testserver slapd
[6591]: conn=3 op=0 STARTTLS
Nov 23 15:42:50 testserver slapd[6429]: conn=4 fd=17 ACCEPT from
IP=127.0.0.1:52037 (IP=0.0.0.0:389) Nov 2315:42:52 testserver slapd
[6591]: conn=3 op=0 RESULT oid= err=0 text= 
Nov 15:42:52 testserver slapd[6591]: conn=3 fd=16 closed (TLS
negotiation failure)

あまりSSL/TSLのしくみが解かってないのが原因ですが鍵の交換がうまくい
ってないようでどちらの鍵を使っているのか不明です。

このあたりの情報があまり多くなくみなさん簡単に解決されているのかと
思いますがよろしければ情報あればお願いします。

--------
y_iida@xxxxxxxxxxxx