LDAP Server über SSL ansprechen

Internet Internet Sicherheit
#1

Hi,
Habe ein grosses Problem. Ich versuche eine Authentifizierung eines Linux Clients per SSH an einem LDAP Server. Da SSH ja nur mitteles Zertifikaten möglich muss also eine Zertifizierungsstelle vorhanden sein. Hier bietet Win die Möglichkeit eine Eigenständige oder eine ADS integrierte zu erstellen. Mit der ADS integiertenLösung funktioniert alles bestens ohne irgendein zutun eines Admins. Da aber leider die Unternehmenstruktur es nicht gestattet eine Organisations Zertifizierungsstelle einzusetzen muss ich das mit einer Eigenständigen versuchen. ich bekomm das leider überhaupt nicht zum Laufen. Bei einer Anmeldung am LDAP Server bekomme ich auf der Linux Seite nur mit „Login incorrect“. Wenn ich mit Ethereal den Versuch der Anmeldung mitverfolge sehe ich lediglich das der Bind erfolgreich verläuft. Allerdings sofort im Anschluss an den bind erfolgt ein unbind.
Hat jemand vielleicht zufällig schon mal ähnliche Erfahrungen mit einer Eigenständigen Zertifizierungsstelle gemacht? Ist es überhaupt ratsam eine Eigenständige Zertifizierungsstelle in einer größeren Umgebung in Betrib zu nehmen?
Danke für eure Antworten

Gruß
raptor

#2

Sorry ein Schreibfehler soll natürlich SSL heißen nicht SSH

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

Hallo,

Vorweg: ich habe keine Ahung von LDAP.

Bei einer Anmeldung am LDAP Server bekomme
ich auf der Linux Seite nur mit „Login incorrect“.

Ist das denn überhaupt ein SSL-Problem? Versuche das doch mal testweise ohne SSL.

Gruß,

Sebastian

#4

Hi !

Hi,
Habe ein grosses Problem. Ich versuche eine Authentifizierung
eines Linux Clients per SSH an einem LDAP Server. Da SSH ja
nur mitteles Zertifikaten möglich muss also eine
Zertifizierungsstelle vorhanden sein. Hier bietet Win die
Möglichkeit eine Eigenständige oder eine ADS integrierte zu
erstellen. Mit der ADS integiertenLösung funktioniert alles
bestens ohne irgendein zutun eines Admins. Da aber leider die
Unternehmenstruktur es nicht gestattet eine Organisations
Zertifizierungsstelle einzusetzen muss ich das mit einer
Eigenständigen versuchen. ich bekomm das leider überhaupt
nicht zum Laufen. Bei einer Anmeldung am LDAP Server bekomme
ich auf der Linux Seite nur mit „Login incorrect“. Wenn ich
mit Ethereal den Versuch der Anmeldung mitverfolge sehe ich
lediglich das der Bind erfolgreich verläuft. Allerdings sofort
im Anschluss an den bind erfolgt ein unbind.

Ksnn ethereal das SSL dekodieren oder gibt es das Problem schon ohne SSL ?
SSL testet sich am einfachsten von Linux aus mit openssl s_client -connect …

Stimmt die ldap.conf vom Linux ? Bei SuSE ist da z.B. manuell zu ändern, da YaST das Mapping nicht einstellt. Wenn die Rechte am ADS nicht geändert wurden, muss man da auch einen Benutzer eintragen, der im AD lesen darf, bei anonymen Bind gibt ADS mit den Standardeinstellungen nichts raus. ldapsearch hilft zum Testen, ob der LDAP-Zugriff überhaupt geht. Sind im AD Schema die nötigen Attribute angelegt wurden ?

Das Linux LDAP sucht zuerst mit anonymem (oder dem in der Config angegebenen) Bind nach dem Benutzernamen (pam_login_atttibute), um die DN zu ermitteln, und führt erst danach ein Bind mit der DN des Benutzers / seinem Passwort aus.

Hat jemand vielleicht zufällig schon mal ähnliche Erfahrungen
mit einer Eigenständigen Zertifizierungsstelle gemacht? Ist es

Ja. Nur zu dem Zweck LDAP/SSL aufgesetzt, ansonsten nicht verwendet.
Nach http://support.microsoft.com/kb/247078/ vorgegangen.

Alexander

#5

Hi,
DAnke für euro Tipps. Habe 3 Konfig Dateien manuell anpassen müssen auf dem Linux Client. Die /etc/ldap.conf, die /etc/nsswitch und die /etc/pam.d/login. für den Bind benutze ich einen Admin aus der ADS Umgebung. Ohne SSL d.h über den LDAP Port 389 funktioniert die Anmeldung. Wenn ich dann allerdings den Port in der LDAP.conf auf „636“ SLDAP und das Attribut „ssl yes“ setze funktioniert die Anmledung nicht mehr.

Basti

#6

Hat jemand vielleicht zufällig schon mal ähnliche Erfahrungen
mit einer Eigenständigen Zertifizierungsstelle gemacht? Ist es

Ja. Nur zu dem Zweck LDAP/SSL aufgesetzt, ansonsten nicht
verwendet.
Nach http://support.microsoft.com/kb/247078/ vorgegangen.

Hi,
der Artikel bezieht sich leider nicht auf einen Eigenständige Zertifizierungsstelle sondern auf eine Organisations Zertifizierungsstelle :frowning:

#7

Naja, wo ichj das damals gemacht habe, habe ich keine andere Möglichkeit gefunden, dem LDAP-Server ein SSL Zertifikat unterzuschieben. Jetzt findet sich z.B. http://support.microsoft.com/default.aspx?scid=kb;de… auch noch (Hatte nicht neu gesucht, sondern das bei mir kopiert…).

Wenn LDAP ohne SSL bei dir funktioniert, teste die SSL Verbindung lieber mit s_client von openssl vorher, um erst mal windowsseitige Fehler auszuschließen… openssl sollte auch ein passendes Zertifikat mit req -x509 und danach pkcs12 erzeugen können.

Alexander

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]