• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Wir haben den Frühjahrsputz beendet, Ihr auch? Welches Foto zu dem Thema hat Euch dann am Besten gefallen? Hier geht es lang zur Abstimmung --> Klick

[OS X Server 10.6] LDAP Anmeldung mit SSL Verschlüsselung scheitert

dahui

Carmeliter-Renette
Registriert
22.10.06
Beiträge
3.303
sers ATer

wer hat ldap mit SSL unter OS X Server 10.6 mit selbst signierten certs und eigener CA am laufen und kann mir bitte weiterhelfen?

habe auf dem OS X Server 10.6 eine root CA erstellt und damit das SSL cert im server admin signiert/ersetzt.
wenn ich mich jetzt auf den iCal dienst mit ssl verbinden will, wird mir das ssl cert als nicht verrtauenswürdig angezeigt. ok soweit ja alle paletti denke ich, weil eben selfsigned. also habe ich das cert der root CA auf dem client importiert, als vertrauenswürdig eingestuft, und schon kann sich ical verbinden, ohne dass das SSL cert auf dem client im schlüsselbund liegt oder als nicht vertauenswürdig moniert wird. ich hoffe meine vorgehensweise ist in soweit korrekt, das cert der root CA auf dem client als vertauenswürdig einzustufen, um damit dann von dieser CA signierte certs automatisch zu akzeptiert.

beim anmelden beim verzeichnisdienst passiert aber nix :(
ohne ssl bekomme ich hingegen sofort die anmeldemaske in der verzeichnisdienste.app beim erstellen einer neuen ldap verbindung und kann mich verbinden.

any help highly apreciated ;)

grüsse,
der HUI
 
Steinchen

Steinchen

Finkenwerder Herbstprinz
Registriert
15.04.10
Beiträge
470
Hi,

so rein aus dem Bauch raus würde ich mal den Netzwerkverkehr mitlesen und evtl. einen strace auf das Tool machen das hier gefragt ist. Wenn, laut Schlüsselbund, das Zertifikat akzeptiert wird, sollte das auch der Fall sein.

Ich hoffe du hast bei deinem Zertifikat eine Sub-CA zur Root-CA erstellt und nutzt diese. Außerdem sollten CRL usw. vorhanden sein sowie der Typ des Zertifikats stimmen das du nutzt. Nicht jedes Zertifikat kann für alles verwendet werden. Stimmt der Typ nicht, kann es sein das einige Software das ohne Kommentar einfach ignoriert und die Dienstleistung an der Stelle einstellt.

Beim Server sollte immer ServerAuth und beim Client immer ClientAuth als Option in den 509 Extensions hinterlegt sein, damit man wenigstens die Grundbedingungen erfüllt. Beim User entsprechendes.

Außerdem darfst du nie mit einem Rootzertifikat der jeweiligen CA/Sub-CA arbeiten sondern musst auch dem Server selbst ein entsprechendes Cert mit ServerAuth u.Ä. ausstellen.

Ein Root-Cert der jeweiligen CA enthält immer ein CA:TRUE in den Extensions und evtl. noch die CRL o.Ä. aber keine ServerAuth,ClientAuth,UserAuth o.Ä. Eintragungen.

cu
 

dahui

Carmeliter-Renette
Registriert
22.10.06
Beiträge
3.303
sers steinchen

merci für den input, karma kanone ist grade leer, aber du stehst auf meiner liste ;)
habe dir auch ... mit verlaub ... eine PN zukommen lassen.

und der vollständigkeit halber hier noch die lösung:
openssl und ldap scheren sich einen dreck um das schlüsselbund. man muss ihnen die zertifikate explizit bekannt geben. stichwort
ldap.conf -> TLS_CACERTDIR
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten